Утечка данных пользователей Discord: раскрыты подробности

На прошлой неделе стало известно об утечке персональных данных пользователей платформы Discord — популярного мессенджера и сервиса голосового общения. Среди скомпрометированной информации оказались даже фотографии государственных удостоверений личности, которые сервис собирает для проверки возраста. Сначала компания заявила, что пострадало лишь "небольшое количество" документов, и что пострадавшие получат уведомления на электронную почту.

Теперь стало ясно, насколько "небольшим" было это число: по словам представителя Discord Ну Векслера, злоумышленники могли получить доступ примерно к 70 000 удостоверений пользователей по всему миру. Это, конечно, не так много на фоне более 200 миллионов ежемесячных пользователей Discord, но для пострадавших данное число малозначительно утешает.

Компания уведомила всех тех пользователей, чьи данные могли пострадать, через электронную почту, и подчеркнула, что сотрудничает с правоохранительными органами, надзорными органами по защите данных и внешними экспертами по кибербезопасности.

Важно отметить: 70 тысяч — это оценка только по документам, удостоверяющим личность. В утечку могли попасть и другие данные: имена, контактные данные, IP-адреса, история покупок, а также последние 4 цифры номеров банковских карт. К счастью, полные номера карт и пароли пользователей не были скомпрометированы.

Discord отмечает, что сама компания не стала жертвой прямого взлома: злоумышленник получил доступ к одной из сторонних сервисных компаний, используемых для поддержки клиентов, и смог просмотреть заявки пользователей в службу поддержки и прикреплённые к ним файлы. В результате могли быть раскрыты сообщения пользователей (только переписка со службой поддержки).

В своем блоге Discord указал, что пострадавшие будут уведомлены с почты noreply@discord.com. Также компания заявила, что не будет платить выкуп за украденные данные, несмотря на попытку шантажа со стороны злоумышленников.

Проверка возраста пользователей, из-за которой и понадобилось собирать документы, была введена Discord в этом году в ряде стран. Для подтверждения возраста предлагали загрузить селфи или фото с удостоверением личности. Пользователи, правда, быстро нашли лазейки: летом выяснилось, что систему можно обмануть фотографией из игры Death Stranding вместо селфи.

Проверку возраста Discord поручил сервису k-ID, однако компания не уточняет, через какой именно сторонний сервис произошла утечка. По словам компании, фотографии удостоверений удаляются сразу после завершения проверки.

Во многих странах вводят законы о проверке возраста, чтобы ограничить доступ детей к неподобающему контенту. Однако исследования показывают, что такие законы большей частью неэффективны и создают риски для конфиденциальности пользователей — как наглядно показал случай с Discord. Правозащитники вместо сбора копий документов предлагают встраивать системы подтверждения возраста прямо на устройствах пользователей — это и безопаснее, и надежнее для защитников приватности.