Хакеры взломали Discord и получили доступ к личным данным и документам пользователей

Хакеры получили доступ к личным данным некоторых пользователей сервиса Discord, в том числе к их именам, адресам электронной почты и фотографиям документов. Об этом сообщила сама компания.

Утечка произошла через стороннего провайдера, обслуживающего службу поддержки Discord. Злоумышленники взломали систему провайдера и получили доступ к данным пользователей, которые ранее обращались в службу поддержки или к команде Trust & Safety. По данным Discord, хакеры пытались вымогать у компании денежный выкуп.

В результате были скомпрометированы имена пользователей, никнеймы, адреса электронной почты, IP-адреса, а также последние четыре цифры банковских карт. Также отмечается, что злоумышленники получили доступ к переписке с технической поддержкой и, в отдельных случаях, к фотографиям удостоверений личности — например, паспортов и водительских прав, которые предоставлялись при обжаловании возрастных ограничений.

В компании сообщили, что прямого доступа к серверам Discord у хакеров якобы не было. Отмечается также, что сервис немедленно отозвал у подрядчика доступ к системе обработки обращений.

«Discord уже предпринял и продолжит предпринимать все необходимые меры в ответ на этот инцидент. Мы регулярно проводим аудит сторонних систем, чтобы они соответствовали нашим стандартам безопасности и конфиденциальности. В частности, мы уведомили соответствующие органы по защите данных, привлекли правоохранительные органы для расследования атаки и начали проверку наших систем обнаружения угроз и средств контроля безопасности у сторонних поставщиков поддержки», — говорится в заявлении компании.

Летом Discord ввёл обязательную систему возрастной верификации для всех пользователей в Великобритании в соответствии c новым цензурным законом Online Safety Act. Если автоматическая проверка не проходит, пользователям предлагается обратиться в службу поддержки и подтвердить личность, отправив фотографию документа — например, паспорта или водительского удостоверения. Именно эти изображения оказались в числе данных, утекших в результате атаки на подрядчика Discord.

Ранее Discord заявлял, что якобы не хранит документы, удостоверяющие личность, на постоянной основе и удаляет их сразу после подтверждения возрастной группы пользователя. Однако утечка этих данных ставит под сомнение выполнение этих обещаний.