Discord: ผู้โจมตีเข้าถึงรูปถ่ายบัตรประจำตัวผู้ใช้ประมาณ 70,000 รายการ

Discord: ผู้โจมตีเข้าถึงรูปถ่ายบัตรประจำตัวผู้ใช้ประมาณ 70,000 รายการ

การละเมิดจากผู้ให้บริการบุคคลที่สามทำให้ข้อมูลผู้ใช้รั่วไหล

Discord เปิดเผยเมื่อเร็วๆ นี้ว่าผู้ไม่หวังดีได้บุกรุกผู้ให้บริการฝ่ายสนับสนุนลูกค้าบุคคลที่สามรายหนึ่งคือ 5CA ส่งผลให้รูปถ่ายบัตรประจำตัวที่ออกโดยรัฐบาลของผู้ใช้ประมาณ 70,000 รายการถูกเปิดเผย การละเมิดซึ่งเกิดขึ้นเมื่อวันที่ 20 กันยายน 2025 มุ่งเป้าไปที่ผู้ให้บริการที่ใช้สำหรับการยืนยันอายุและการอุทธรณ์การสนับสนุน Discord รีบชี้แจงว่าแพลตฟอร์มของตนไม่ได้ถูกเจาะระบบ การโจมตีมุ่งเน้นไปที่ผู้ให้บริการบุคคลที่สาม ทันทีหลังจากพบเหตุการณ์ Discord เพิกถอนการเข้าถึงระบบตั๋วของผู้ให้บริการ เริ่มการสอบสวนภายใน และแจ้งหน่วยงานบังคับใช้กฎหมาย บริษัทกำลังดำเนินการส่งอีเมลถึงผู้ใช้ที่ได้รับผลกระทบ โดยการสื่อสารอย่างเป็นทางการจะมาจาก noreply@discord.com เท่านั้น

ข้อมูลใดบ้างที่ถูกเข้าถึง?

ข้อมูลที่ถูกเปิดเผยจำกัดเฉพาะข้อมูลที่จัดการโดยระบบฝ่ายสนับสนุนลูกค้า ซึ่งรวมถึงชื่อ ชื่อผู้ใช้ Discord ที่อยู่อีเมล และรายละเอียดการติดต่ออื่นๆ ที่ให้กับทีมสนับสนุน นอกจากนี้ ข้อมูลการเรียกเก็บเงินบางส่วน เช่น ประเภทการชำระเงิน เลขท้ายสี่หลักของบัตรเครดิต และประวัติการซื้อ อาจถูกเข้าถึงได้ ที่อยู่ IP และเนื้อหาข้อความที่แลกเปลี่ยนกับเจ้าหน้าที่ฝ่ายสนับสนุนลูกค้าก็ถูกเปิดเผยเช่นกัน ที่สำคัญที่สุดคือ รูปภาพบัตรประจำตัวที่ออกโดยรัฐบาลจำนวนเล็กน้อย เช่น ใบขับขี่และหนังสือเดินทาง ถูกบุกรุก Discord เน้นย้ำว่าไม่มีหมายเลขบัตรเครดิตเต็ม รหัส CVV รหัสผ่าน หรือกิจกรรมของผู้ใช้นอกเหนือจากการโต้ตอบกับฝ่ายสนับสนุนที่เกี่ยวข้อง

ผลกระทบต่อผู้ใช้และการยืนยันอายุ

ผู้ใช้ที่ได้รับผลกระทบส่วนใหญ่รวมถึงผู้ที่ติดต่อทีมสนับสนุนลูกค้าหรือทีม Trust & Safety ของ Discord โดยเฉพาะอย่างยิ่งสำหรับการอุทธรณ์ที่เกี่ยวข้องกับอายุ เพื่อให้เป็นไปตามข้อบังคับ Discord กำหนดให้ผู้ใช้ยืนยันอายุโดยอัปโหลดบัตรประจำตัวที่ออกโดยรัฐบาล กระบวนการนี้ซึ่งจ้างให้ผู้ให้บริการบุคคลที่สามเช่น 5CA ดำเนินการ ทำให้เกิดช่องทางสำหรับการละเมิด ผู้โจมตีสามารถเข้าถึงรูปถ่ายบัตรประจำตัวของผู้ใช้ประมาณ 70,000 รายการ ซึ่งมีข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น ชื่อเต็ม วันเกิด และที่อยู่ทางกายภาพ สิ่งนี้ทำให้เกิดความกังวลด้านความเป็นส่วนตัวอย่างมาก เนื่องจากข้อมูลที่รั่วไหลอาจถูกนำไปใช้ในการโจรกรรมข้อมูลส่วนตัวหรือการสะกดรอยตาม Discord ระบุว่าผู้ใช้ที่ได้รับผลกระทบจะได้รับอีเมลแจ้งรายละเอียดว่าบัตรประจำตัวของตนถูกเข้าถึงหรือไม่

การตอบสนองและมาตรการรักษาความปลอดภัยของ Discord

Discord ดำเนินการอย่างรวดเร็วโดยเพิกถอนการเข้าถึงของผู้ให้บริการบุคคลที่สาม จ้างบริษัทนิติเวชคอมพิวเตอร์ชั้นนำ และแจ้งหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้อง บริษัทกำลังทำงานอย่างใกล้ชิดกับหน่วยงานบังคับใช้กฎหมายเพื่อสอบสวนการโจมตี ซึ่งเกี่ยวข้องกับการเรียกค่าไถ่ Discord ระบุว่าจะไม่จ่ายค่าไถ่ โดยเรียกมันว่าการกระทำที่ผิดกฎหมาย ต่อไป Discord วางแผนที่จะตรวจสอบระบบของบุคคลที่สามบ่อยขึ้นเพื่อให้แน่ใจว่าเป็นไปตามมาตรฐานความปลอดภัยและความเป็นส่วนตัว บริษัทยังแนะนำให้ผู้ใช้ทุกคนระมัดระวังข้อความหรือการสื่อสารที่น่าสงสัยซึ่งอาจเป็นส่วนหนึ่งของความพยายามฟิชชิ่งที่เกี่ยวข้องกับการละเมิด

ช่องทางการสื่อสารอย่างเป็นทางการ

Discord เตือนว่าจะติดต่อผู้ใช้ที่ได้รับผลกระทบทางอีเมลจาก noreply@discord.com เท่านั้น ผู้ใช้ควรระวังการโทรศัพท์หรืออีเมลจากที่อยู่อื่นที่อ้างว่าเกี่ยวกับการละเมิด บริษัทยังไม่ได้เปิดเผยตัวตนของผู้ให้บริการที่ถูกบุกรุก แต่รายงานยืนยันว่าเป็น 5CA ซึ่งเป็นบริษัทบริการลูกค้าในสหราชอาณาจักร ผู้ให้บริการบุคคลที่สามรายอื่น เช่น Zendesk ระบุว่าระบบของตนไม่ได้เกี่ยวข้อง

ปฏิกิริยาจากชุมชนและผู้เชี่ยวชาญ

การละเมิดดังกล่าวจุดประเด็นการพูดคุยอย่างกว้างขวางในหมู่ผู้ใช้ Discord 200 ล้านคน โดยหลายคนแสดงความกังวลเกี่ยวกับการจัดการข้อมูลบัตรประจำตัวที่ละเอียดอ่อน นักวิจารณ์ออนไลน์บางคนแนะนำว่าการละเมิดอาจรุนแรงกว่าที่เปิดเผย แต่ Discord ปฏิเสธข้อกล่าวหาเหล่านี้ โดยระบุว่าเป็นความพยายามกรรโชก ผู้เชี่ยวชาญด้านความปลอดภัยชี้ว่าเหตุการณ์นี้เน้นย้ำถึงความเสี่ยงของการจ้างบุคคลที่สามในการยืนยันอายุ การรั่วไหลของรูปภาพบัตรประจำตัวมากกว่า 100 รูปในช่อง Telegram ซึ่งอ้างว่ามาจากการละเมิด ตอกย้ำถึงอันตรายในโลกแห่งความเป็นจริงของการเปิดเผยตัวตน ผู้ใช้ที่ส่งบัตรประจำตัวสำหรับ DMCA หรือการยืนยันอายุมีความเสี่ยงเป็นพิเศษ เนื่องจากที่อยู่ทางกายภาพของพวกเขาอาจตกอยู่ในความเสี่ยง

สิ่งที่ผู้ใช้ควรทำต่อไป

หากคุณได้รับอีเมลจาก Discord เกี่ยวกับเหตุการณ์นี้ ให้ตรวจสอบรายละเอียดอย่างรอบคอบ เปลี่ยนรหัสผ่าน Discord ของคุณและเปิดใช้งานการยืนยันตัวตนสองปัจจัยหากคุณยังไม่ได้ทำ ติดตามบัญชีการเงินของคุณสำหรับกิจกรรมที่น่าสงสัย โดยเฉพาะอย่างยิ่งหากคุณมีข้อมูลการเรียกเก็บเงินที่เชื่อมโยงกับ Discord ระมัดระวังเป็นพิเศษเกี่ยวกับความพยายามฟิชชิ่งที่อาจอ้างถึงการละเมิด สำหรับผู้ที่รูปถ่ายบัตรประจำตัวถูกเปิดเผย ให้พิจารณาวางการแจ้งเตือนการฉ้อโกงในไฟล์เครดิตของคุณและรายงานการโจรกรรมข้อมูลส่วนตัวต่อหน่วยงานที่เกี่ยวข้อง Discord ยังคงให้ความร่วมมือกับหน่วยงานบังคับใช้กฎหมาย แต่ความระมัดระวังส่วนบุคคลเป็นกุญแจสำคัญในการลดอันตรายที่อาจเกิดขึ้น