Popularna platforma za komunikaciju, Discord, koja je prvenstveno omiljena među gejmerima i online zajednicama, suočava se sa ozbiljnim bezbednosnim incidentom. Kompanija je potvrdila da su usled sajber napada potencijalno procurile osetljive lične informacije, uključujući fotografije sa identifikacionih dokumenata, za oko 70.000 korisnika širom sveta.
Ovaj incident izazvao je veliku zabrinutost u zajednici, jer se radi o jednoj od najtežih vrsta curenja podataka – kompromitovanju zvaničnih dokumenata koji služe za potvrdu identiteta i starosti.
Ranijivi sistem treće strane
Ključno u ovom incidentu je to što napad nije direktno kompromitovao Discord-ove glavne servere, već je meta bio sistem nezavisne kompanije – partnera za korisničku podršku, odnosno platforma Zendesk.
Korisnici su slali fotografije svojih ličnih dokumenata (ličnih karata, pasoša ili vozačkih dozvola) Discord-u u okviru procedura za verifikaciju starosti. Ovo je postalo naročito učestalo nakon što je Discord pojačao mere za kontrolu uzrasta, kao odgovor na sve češće kritike i zabrinutost da se pojedini serveri koriste za distribuciju neprimerenog sadržaja, poput ekstremističkih materijala ili pornografije.
Nažalost, umesto da ovi izuzetno osetljivi podaci budu čuvani na internim i maksimalno obezbeđenim Discord-ovim serverima, oni su bili pohranjeni na sistemu treće strane. Hakeri su iskoristili ranjivost u tom eksternom sistemu, došavši do baze podataka sa fotografijama i pratećim informacijama.
Koje su informacije ugrožene?
Discord je potvrdio da su, pored fotografija ličnih dokumenata za 70.000 korisnika, mogli biti izloženi i drugi, s njima povezani, podaci:
- Ime i prezime
- Korisničko ime (Username)
- Imena agenta korisničke službe sa kojima su komunicirali
- Sadržaj prepiske sa korisničkom podrškom
- IP adresa
- Poslednje četiri cifre broja platne kartice (što je posebno osetljivo)
Kompanija iz San Franciska naglašava da potpuni podaci o kreditnim karticama, lozinke i generalne poruke koje nisu deo komunikacije sa podrškom nisu kompromitovani. Takođe, Discord sarađuje sa policijom i nadzornim telima za zaštitu podataka, istovremeno opovrgavajući tvrdnje hakerske grupe da poseduje mnogo veći obim podataka (oko 1.5 terabajta, što navode kao deo pokušaja iznude).
Globalni rizici
Curenje ličnih dokumenata ima izuzetno visok rizik. Jednom kada su fotografije ličnih dokumenata u pogrešnim rukama, otvaraju se vrata za krađu identiteta širom sveta, bez obzira na to gde se korisnik nalazi. Hakeri mogu koristiti ove podatke za:
- Otvaranje lažnih bankovnih računa.
- Prijavljivanje za lažne kredite ili usluge.
- Zloupotrebu identiteta na drugim platformama.
Ovakav incident narušava poverenje korisnika u platforme koje koriste eksterne partnere za obradu osetljivih podataka. Iako je Discord hitno opozvao pristup sistemu kompromitovanog dobavljača i kontaktirao pogođene korisnike, ovaj događaj služi kao snažan podsetnik da je bezbednost lanca snabdevanja digitalnim uslugama podjednako važna kao i bezbednost primarnih servera.
Korisnicima je savetovano da budu izuzetno oprezni u narednom periodu, naročito u pogledu sumnjivih mejlova, telefonskih poziva ili poruka koje mogu biti pokušaj phishing napada ili zloupotrebe provaljenih podataka.
