Хакеры утверждают, что похитили до 2,1 миллиона фотоидентификаторов в результате взлома данных Discord объемом 1,5 ТБ
Хакеры, взявшие на себя ответственность за взлом крупной сети Discord усилили свои угрозы, заявив, что у них есть 1,5 терабайта фотографий для проверки возраста, состоящих из 2 185 151 изображения удостоверений личности, выданных государством, таких как паспорта, водительские права, а также селфи, присланных пользователями во время автоматической проверки возраста.
Хакеры, о которых идет речь, используют похищенную информацию о пользователях, чтобы вымогать у Discord выкуп. Взлом системы безопасности вызвал широкую тревогу в связи с риском кражи личных данных и фишинга, особенно учитывая, что в Discord зарегистрировано более 250 миллионов ежемесячных активных пользователей.
Первыми о ситуации сообщили такие трекеры по кибербезопасности, как Hackmanac и Discord Previews онлайн. Система проверки возраста только усиливает опасения по поводу практики хранения данных и нормативного давления в отношении проверки возраста в таких регионах, как Великобритания и Австралия.
Нарушение безопасности датируется 20 сентября, когда неавторизованный человек взломал стороннего поставщика услуг для клиентов Discord, Zendesk, предоставив ему доступ к системам продажи билетов без прямого проникновения в основную инфраструктуру Discord.
Discord обнаружил аномалию вскоре после этого и публично объявил об инциденте 3 октября, заявив, что риску подверглось лишь ограниченное число пользователей, обратившихся в службу поддержки или в службу доверия и безопасности.
В своем официальном обновлениикомпания подробно описала масштабы взлома, упомянув, что злоумышленник явно намеревался получить данные для вымогательства - расчетливый ход, который вызвал волны в других секторах, таких как криптовалютный, где Zendesk, как известно, обслуживает такие биржи, как BtcTurk и HTX, обе из которых ранее стали жертвами многомиллионных взломов.
Согласно пресс-релизу Discord, скомпрометированная информация состоит из имен, фамилий пользователей, адресов электронной почты и других контактных данных, которыми поделились со службой поддержки, включая частичные биллинговые данные, такие как типы платежей, последние четыре цифры кредитных карт и истории покупок, IP-адреса, разговоры с агентами службы поддержки, а также ограниченные внутренние материалы, такие как учебные документы и презентации.
В утечке отсутствуют полные номера кредитных карт, CVV-коды, личные сообщения и пароли. Хотя Discord признал, что хакеры получили доступ к "небольшому количеству изображений государственных идентификаторов", полученных в результате проверки возраста, хакеры утверждают, что у них есть более двух миллионов таких файлов, которые потенциально были собраны до того, как произошло автоматическое удаление.
Discord начал рассылать электронные письма пострадавшим людям и призывает пользователей быть бдительными к любым подозрительным сообщениям.
