Discord: Atakujący uzyskali dostęp do około 70 000 zdjęć identyfikacyjnych użytkowników

Discord: Atakujący uzyskali dostęp do około 70 000 zdjęć identyfikacyjnych użytkowników

Naruszenie bezpieczeństwa u zewnętrznego dostawcy ujawnia dane użytkowników

Discord niedawno ujawnił, że nieautoryzowana strona naruszyła bezpieczeństwo jednego z jego zewnętrznych dostawców obsługi klienta, 5CA, co doprowadziło do ujawnienia około 70 000 zdjęć rządowych dokumentów tożsamości użytkowników. Naruszenie, do którego doszło 20 września 2025 roku, było wymierzone w dostawcę wykorzystywanego do weryfikacji wieku i odwołań. Discord szybko wyjaśnił, że jego własna platforma nie została naruszona – atak skupił się na zewnętrznym dostawcy. Natychmiast po odkryciu incydentu Discord cofnął dostęp dostawcy do swojego systemu zgłoszeń, wszczął wewnętrzne dochodzenie i zaangażował organy ścigania. Firma wysyła e-maile do dotkniętych użytkowników, a oficjalne komunikaty pochodzą wyłącznie z adresu noreply@discord.com.

Do jakich danych uzyskano dostęp?

Ujawnione dane ograniczają się do informacji przetwarzanych przez system obsługi klienta. Obejmują one imiona i nazwiska, nazwy użytkowników Discorda, adresy e-mail i inne dane kontaktowe przekazane zespołom wsparcia. Ponadto mogły zostać ujawnione ograniczone informacje rozliczeniowe – takie jak typ płatności, ostatnie cztery cyfry numerów kart kredytowych i historia zakupów. Ujawniono również adresy IP i treść wiadomości wymienianych z agentami obsługi klienta. Co najważniejsze, naruszono niewielką liczbę zdjęć rządowych dokumentów tożsamości, takich jak prawa jazdy i paszporty. Discord podkreślił, że nie dotyczy to pełnych numerów kart kredytowych, kodów CVV, haseł ani aktywności użytkowników poza interakcjami z pomocą techniczną.

Wpływ na użytkowników i weryfikację wieku

Dotknięci użytkownicy to przede wszystkim osoby, które kontaktowały się z zespołami pomocy technicznej lub zaufania i bezpieczeństwa Discorda, szczególnie w sprawach odwołań związanych z wiekiem. Aby spełnić wymogi prawne, Discord wymaga od użytkowników weryfikacji wieku poprzez przesłanie rządowych dokumentów tożsamości. Proces ten, zlecany zewnętrznym dostawcom, takim jak 5CA, stworzył wektor naruszenia. Atakujący uzyskał dostęp do zdjęć dokumentów tożsamości około 70 000 użytkowników, które zawierają wrażliwe dane osobowe, takie jak pełne imiona i nazwiska, daty urodzenia i adresy zamieszkania. Budzi to poważne obawy o prywatność, ponieważ wyciekłe dane mogą zostać wykorzystane do kradzieży tożsamości lub nękania. Discord poinformował, że dotknięci użytkownicy otrzymają e-mail z informacją, czy ich dokument tożsamości został ujawniony.

Reakcja Discorda i środki bezpieczeństwa

Discord działał szybko, cofając dostęp zewnętrznemu dostawcy, angażując wiodącą firmę z zakresu kryminalistyki komputerowej i powiadamiając odpowiednie organy ochrony danych. Firma ściśle współpracuje z organami ścigania w celu zbadania ataku, który wiązał się z żądaniem okupu. Discord oświadczył, że nie zapłaci okupu, nazywając to nielegalnym działaniem. W przyszłości Discord planuje częściej audytować swoje zewnętrzne systemy, aby upewnić się, że spełniają standardy bezpieczeństwa i prywatności. Firma zaleca również wszystkim użytkownikom zachowanie czujności wobec podejrzanych wiadomości lub komunikacji, które mogą być częścią prób phishingu związanych z naruszeniem.

Oficjalne kanały komunikacji

Discord ostrzegł, że będzie kontaktować się z dotkniętymi użytkownikami wyłącznie za pośrednictwem e-maila z adresu noreply@discord.com. Użytkownicy powinni zachować ostrożność w przypadku telefonów lub e-maili z innych adresów, które twierdzą, że dotyczą naruszenia. Firma nie ujawniła tożsamości naruszonego dostawcy, ale raporty potwierdzają, że był to 5CA, brytyjska firma obsługi klienta. Inni zewnętrzni dostawcy, tacy jak Zendesk, oświadczyli, że ich systemy nie były zaangażowane.

Reakcje społeczności i ekspertów

Naruszenie wywołało szeroką dyskusję wśród 200 milionów użytkowników Discorda, z których wielu wyraziło zaniepokojenie sposobem przetwarzania wrażliwych danych identyfikacyjnych. Niektórzy komentatorzy w internecie sugerowali, że naruszenie może być bardziej rozległe niż ujawniono, ale Discord zaprzecza tym twierdzeniom, przypisując je próbom wymuszenia. Eksperci ds. bezpieczeństwa zauważają, że incydent ten podkreśla ryzyko związane z outsourcingiem weryfikacji wieku do stron trzecich. Wyciek ponad 100 zdjęć dokumentów tożsamości na kanale Telegram, rzekomo z naruszenia, uwydatnia realne zagrożenia związane z ujawnieniem tożsamości. Użytkownicy, którzy przesłali dokumenty tożsamości w celu weryfikacji wieku lub w sprawach DMCA, są szczególnie narażeni, ponieważ ich adresy fizyczne mogą być teraz zagrożone.

Co użytkownicy powinni zrobić dalej

Jeśli otrzymasz e-mail od Discorda dotyczący tego incydentu, dokładnie przejrzyj szczegóły. Zmień hasło do Discorda i włącz uwierzytelnianie dwuskładnikowe, jeśli jeszcze tego nie zrobiłeś. Monitoruj swoje konta finansowe pod kątem podejrzanej aktywności, zwłaszcza jeśli masz powiązane z Discordem dane rozliczeniowe. Zachowaj szczególną ostrożność wobec prób phishingu, które mogą nawiązywać do naruszenia. W przypadku ujawnienia zdjęcia Twojego dokumentu tożsamości rozważ założenie alertu o oszustwie w swoim pliku kredytowym i zgłoś kradzież tożsamości odpowiednim organom. Discord nadal współpracuje z organami ścigania, ale indywidualna czujność jest kluczowa, aby zminimalizować potencjalne szkody.