Discord потвърди, че личните данни на около 70 000 потребители, включително снимки на държавни лични документи, са били изложени при пробив във външен доставчик. Отговорност за атаката пое киберпрестъпната група Scattered LAPSUS$ Hunters.

Инцидентът подчертава сериозните рискове, които крие използването на външни фирми за обработка на чувствителни данни – особено във връзка с новите закони за потвърждаване на възрастта, приети в редица държави.

Ограничен, но чувствителен пробив

В официална публикация Discord обяви, че пробивът е засегнал „ограничен брой потребители, които са комуникирали с екипите на Customer Support или Trust & Safety“.

„По света идентифицирахме приблизително 70 000 потребители, чиито снимки на лични документи може да са били компрометирани. Те са били използвани от нашия доставчик за проверка при обжалвания, свързани с възраст,“ заявиха от компанията.

Експертите: проблемът е по-голям от самия инцидент

Нейтън Уеб, консултант по киберсигурност от Acumen Cyber, коментира, че ситуацията е „много тревожна“, защото показва колко бързо хакерите насочват вниманието си към процеси, свързани с потвърждаване на самоличност и възраст.

„Злонамерените лица осъзнават колко чувствителни и често невъзстановими данни могат да придобият при един успешен удар,“ казва Уеб.

Той подчерта, че с въвеждането на UK Online Safety Act във Великобритания все повече организации използват външни доставчици за възрастова верификация – често извън страната, което създава риск данни на граждани да бъдат съхранявани в юрисдикции с по-слаба защита.

Какво твърдят хакерите

Групата Scattered LAPSUS$ Hunters твърди, че е имала достъп до Zendesk инстанцията на Discord в продължение на 58 часа, започвайки от 20 септември.

Според информации, те са откраднали 1,6 TB потребителски данни, включително:

• около 8,4 милиона тикета;

• 1,5 TB прикачени файлове и 100 GB преписки;

• частична платежна информация за около 580 000 потребители;

• данни от 521 000 заявки за потвърждение на възраст.

Discord обаче настоява, че реалният обхват е много по-малък и че атаката не е насочена директно към собствените му системи.

Проблемът с външните доставчици за проверка на възраст

Според Крис Хаук от Pixel Privacy, инцидентът потвърждава опасенията на експертите относно изискванията сайтовете да събират копия на лични карти и други документи.

„Когато трети страни участват, рискът нараства, защото се увеличава и повърхността за атаки,“ казва Хаук.

Той добавя, че базите данни, съдържащи лични и финансови данни – като шофьорски книжки, социални номера и банкови сметки – са изключително ценни за престъпниците.

Отговорността не може да бъде делегирана

Уеб подчертава, че въпреки използването на външни услуги, организациите не могат да прехвърлят отговорността за сигурността на данните:

„Делегирането на процеси не освобождава от задължението за спазване на стандартите за защита на личната информация.“

Той препоръчва организациите да водят точна документация за това кои трети страни и отдалечени инструменти имат достъп до системи и данни, както и да прилагат по-строги механизми за удостоверяване – като Passkeys, силна многофакторна автентикация (MFA) и физически токени за сигурност.

Какви данни са били компрометирани

Discord заяви, че пробивът не е в собствените му системи, а във външния доставчик на поддръжка. След откриването на инцидента компанията е отнела достъпа на доставчика, уведомила е властите и започнала разследване.

Компрометираните данни включват:

• име, потребителско име и имейл адрес;

• ограничена платежна информация (тип на плащане, последни 4 цифри на картата, история на покупки);

• IP адреси;

• съобщения с екипа за поддръжка;

• вътрешни фирмени документи (обучителни материали, презентации).

Discord изпраща уведомителни имейли до всички засегнати потребители.