Skandalas „Discord“ užkulisiuose: nutekėjo dešimtys tūkstančių vartotojų duomenų, būtina reaguoti

Incidento metu įsilaužėliai pavogė vartotojų asmens dokumentų nuotraukas, kurias „Discord“ naudojo amžiaus patvirtinimo tikslais.

Iš pradžių informacija apie įsilaužimo mastą nebuvo aiški – „Discord“ nukentėjusiems vartotojams pranešė privačiai, todėl viešai tikslūs skaičiai neskelbti. Visgi internete greitai paplito spėlionės apie žymiai didesnį mastą.

Internetu sklido spekuliacijos apie milijonus pavogtų įrašų

Vienas populiariausių paskyrų platformoje „X“ „vx-underground“ paskelbė, kad nutekinta net 1,5 TB nuotraukų su pasais ir kitais vyriausybės išduotais dokumentais, palietusių apie 2,1 mln. „Discord“ vartotojų.

Tačiau „Discord“ atstovas spaudai Nu Wexler tokią informaciją paneigė ir pavadino ją netikslia bei perdėta. Jo teigimu, tikrasis paveiktų vartotojų skaičius siekia apie 70 tūkst.

Kompanijos atsakas: Tai nebuvo „Discord“ pažeidimas

Komentuodamas situaciją „The Verge“ leidiniui, Wexler pabrėžė, kad incidentas įvyko ne dėl pačios „Discord“ sistemos saugumo pažeidimo, o dėl trečiosios šalies paslaugų tiekėjo saugumo spragos.

„Kaip jau minėjome oficialiame įraše, tai nebuvo „Discord“ pažeidimas – buvo įsilaužta į mūsų naudojamos trečiosios šalies klientų aptarnavimo platformą. Skaičiai, kurie sklando internete, yra neteisingi ir tikėtina, kad tai mėginimas šantažuoti platformą bei reikalauti išpirkos“, – teigė Wexler.

Pasak jo, apie 70 tūkst. paskyrų visame pasaulyje galėjo būti paveiktos – būtent tų, kurių vartotojai pateikė savo asmens dokumentų nuotraukas, norėdami ginčyti amžiaus apribojimus ar pateikti skundą dėl neteisingos paskyros blokavimo.

Vartotojai jau informuoti, „Zendesk“ bendradarbiavimas nutrauktas

„Discord“ taip pat informavo, kad paveikti vartotojai buvo individualiai informuoti apie incidentą. Kompanija nutraukė bendradarbiavimą su paslaugų tiekėju „Zendesk“, kuris buvo atsakingas už klientų aptarnavimą ir kurio infrastruktūra buvo nulaužta.

Be to, įmonė patvirtino, kad saugumo spragos jau užlopytos – pažeisti serveriai atjungti nuo tinklo, įvykio aplinkybės tiriamos kartu su teisėsaugos institucijomis.

Nutekinti jautrūs duomenys – įskaitant asmens tapatybės dokumentus

Nepaisant to, kad vartotojų kiekis buvo mažesnis nei spekuliuota, pats nutekėjusių duomenų pobūdis kelia rimtą susirūpinimą. Pranešama, kad tarp nutekintos informacijos buvo: el. pašto adresai, asmens dokumentų nuotraukos, IP adresai, keturi paskutiniai mokėjimo kortelės skaičiai, amžiaus patvirtinimo nuotraukos, kiti techniniai duomenys.

Tokio tipo informacija dažnai tampa pagrindu tapatybės vagystėms ar kitoms sukčiavimo formoms, todėl svarbu, kad nukentėję vartotojai imtųsi atsargumo priemonių – keistų slaptažodžius, tikrintų prisijungimų istorijas ir stebėtų galimus netikėtus prisijungimus prie kitų paslaugų.

Įmonė žada nesiderėti su įsilaužėliais

Wexler taip pat patvirtino, kad „Discord“ neketina reaguoti į bandymus gauti išpirką ir neplanuoja apdovanoti asmenų, atsakingų už neteisėtus veiksmus. Tai įprasta technologijų sektoriaus praktika – nepasiduoti spaudimui ir nelegaliai veiklai.

Kol kas lieka neaišku, ar kas nors prisiėmė atsakomybę už įsilaužimą, taip pat nėra informacijos, ar duomenys jau platinami kibernetinėse juodojo tinklo rinkose.

Vis dėlto, tokie atvejai primena, kad net ir didžiausios interneto platformos, naudojančios išorinius paslaugų tiekėjus, nėra apsaugotos nuo išorinių grėsmių. Tai įpareigoja tiek kompanijas, tiek vartotojus likti budriems ir saugoti savo skaitmeninę tapatybę.