Érzékeny adatokat loptak a Discord ügyfélszolgálatától
Személyazonosításra alkalmas adatokhoz, köztük nevekhez és hivatalos okmányok fotóihoz fértek hozzá illetéktelenek a Discord egy külsős partnerén keresztül.
70 ezer felhasználó hivatalos személyazonosító okmányainak fotóihoz jutottak hozzá illetéktelenek a Discord helpdesk külsős partnerén keresztül – erősítette meg a chatalkalmazás. Erősödő trend, hogy egyre több szolgáltatás követeli meg a felhasználóktól, hogy fotózzák be a jogosítványukat, személyijüket vagy más igazolványukat hitelesítés céljából, amit a korhatár-követelmények szigorúbb ellenőrzése indokol bizonyos országokban. A Discord egyébként egy egyszerű szelfit is elfogad, de a hivatalos okmányos ellenőrzést kötelező jelleggel elvégzi, ha egy felhasználóról azt állítják más felhasználók, hogy még nem töltötte be a platformhoz való csatlakozáshoz szükséges életkort.
A Discord hivatalos közlése szerint nagyjából 70 ezer felhasználó igazolványképei, számlázási információk, hitelkártyák utolsó számjegyei szivároghattak ki egy nemrég történt adatvédelmi incidens során egy külsős szolgáltatás hibájából fakadóan, mely az adatok kezeléséért felelt. Az érintettek közül többen is felvették a kapcsolatot a chatalkalmazás ügyfélszolgálatával életkorral kapcsolatos fellebbezések kapcsán, így a támadók a harmadik fél által kezelt ügyfélszolgálati rendszerén keresztül férhetett hozzá a dokumentumokhoz.
Hyperscaler vagy hazai felhő? Lehet, hogy nem kell választani! Egy jól felépített hibrid vagy multicloud modellben a különböző felhők nem versenytársai, hanem kiegészítői egymásnak.
Az incidens feltárása után a Discord a meg nem nevezett szolgáltató hozzáférését letiltotta jegykezelő rendszerhez, és e-mailben értesítette az érintetteket. A cég hangsúlyozta, hogy saját rendszeréhez nem fértek hozzá közvetlenül a támadók.
Az elsősorban játékosokat célzó chatalkalmazást érintő incidens rámutat a hivatalos személyazonosító okmányok ellenőrzésének kockázataira. A Discord mellett a Roblox, a Steam és a Twitch is ilyen módon hitelesíti a felhasználók egy részét. Az Egyesült Államok 19 államában, Franciaországban, az Egyesült Királyságban és máshol is fogadtak el olyan törvényeket, melyek előírják a pornóoldalak számára a látogatók ellenőrzését a korhatáros tartalmak megtekintéséhez, ami a gyakorlatban egyes szolgáltatásoknál már megvalósult, máshol még nem.
A módszer egyik nagy ellenzője a PornHub, mely szerint az előírások jelentős kockázatot jelentenek személyazonosság-lopás szempontjából. Mivel a korhatár-ellenőrző szoftverek rendkívül érzékeny információk megadását követelik meg a felhasználóktól, újabb kihasználható rést jelentenek az adatvédelmi incidensekhez, és az adathalász-támadások mellett zsarolásoknak adhat teret, ami olyan érzékeny tartalmak esetében, mint a pornó, további kockázatokat hordoz magában.