„Discord“ atskleidė saugumo incidentą, kai neteisėta šalis kompromituoja vieną iš jos trečiųjų šalių klientų aptarnavimo paslaugų teikėjų.
Santrauka
- Incidentas pabrėžia didėjančią trečiųjų šalių paslaugų teikėjų keliamą saugumo riziką, net ir pagrindinėms platformoms, turinčioms stiprias vidines apsaugos priemones.
- Nors pagrindinės „Discord“ sistemos vis dar neturi įtakos, vartotojo duomenys, įskaitant kontaktinę informaciją, ribotą atsiskaitymo informaciją ir ID vaizdus, ekspozicija yra susijusi su tuo, kaip su parama susiję pažeidžiamumas vis tiek gali sukelti rimtų privatumo problemų ir galimų sukčiavimo grėsmių.
Įsilaužėliai įgijo prieigą prie asmeninės informacijos iš vartotojų, susisiekusių su klientų aptarnavimo ar pasitikėjimo ir saugos komandomis.
Pažeidimas tiesiogiai nepakenkė „Discord“ sistemoms ir nebuvo galima pasiekti jokių pranešimų ar veiklos, viršijančios tai, ką vartotojai diskutavo su palaikymo agentais.
Bendrovė iškart atšaukė kompromituojamo teikėjo prieigą prie savo bilietų pardavimo sistemos ir pradėjo tyrimą su kompiuterio kriminalistikos įmone ir teisėsauga.
„Discord“ praneša nukentėjusiems vartotojams el. Paštu ir įspėja, kad oficialūs ryšiai nebus skirti telefono skambučiams.
Pažeidimo apimtis įeina ID, mokėjimo duomenys ir palaikymo pranešimai
Neteisėta partija nukreipė „Discord“ trečiųjų šalių klientų aptarnavimo paslaugas, kad būtų galima pasiekti vartotojų duomenis, siekiant ištraukti finansinę išpirką iš įmonės.
Į pažeistą informaciją įeina vardai, nesantaikos vartotojo vardai, el. Laiškai, kontaktinė informacija, pateikta klientų aptarnavimo tarnybai ir IP adresams.
Taip pat buvo atskleista ribota atsiskaitymo informacija, įskaitant mokėjimo tipą, paskutinius keturis kreditinių kortelių skaitmenis ir pirkimo istoriją, skirtą sąskaitų, susijusių su palaikymo bilietais.
Pranešimai, keičiami su klientų aptarnavimo agentais, buvo prieinami užpuolikams, taip pat ribotiems įmonių duomenims, tokiems kaip mokymo medžiaga ir vidaus pristatymai.
Galbūt buvo pasiekta nedaug vyriausybinių išduotų asmens tapatybės ID vaizdų iš vartotojų, įskaitant vairuotojo pažymėjimus ir pasus. „Discord“ individualiuose pranešimo el. Laiškuose nurodo, ar vartotojo ID buvo gali pakenkti.
Visiški kreditinių kortelių numeriai, CCV kodai, slaptažodžiai ir autentifikavimo duomenys nebuvo įtraukti į pažeidimą.
Pranešimai ar veikla nesantaikoje už klientų aptarnavimo sąveikos išliko saugios ir nebuvo prieinamos neleistinai šaliai.
Nesantaika praneša valdžios institucijoms
„Discord“ pranešė apie atitinkamas duomenų apsaugos institucijas ir aktyviai bendravo su teisėsauga ištirti išpuolio.
Bendrovė peržiūri savo grėsmės aptikimo sistemas ir trečiųjų šalių paramos teikėjų saugumo kontrolę, kad būtų išvengta panašių incidentų.
Platforma planuoja tęsti dažnai trečiųjų šalių sistemų auditą, kad patikrintų, ar jos atitinka saugumo ir privatumo standartus.
Bendrovė rekomenduoja paveiktiems vartotojams išlikti budriems dėl įtartinų pranešimų ar ryšių, kurie galėtų atspindėti sukčiavimo bandymus, išnaudojančius pažeistą informaciją.
Vartotojai turėtų patikrinti, ar bet kokie nesantaikos ryšiai kyla iš oficialių kanalų, ir venkite spustelėti nuorodas netikėtuose pranešimuose.
