Як повідомляється, хакери вкрали понад два мільйони фотографій урядової ідентифікації із сторонньої системи підтримки Discord і зараз загрожують просочити їх, якщо компанія не сплатить викуп.
Порушення, яке відбулося 20 вересня, стосувалося екземпляра Zendesk Discord, платформи обслуговування клієнтів, яка використовує компанія для обробки підтримки користувачів та запитів довіри та безпеки.
2,1 мл
Згідно До дослідницької групи з кібербезпеки vx-underground, зловмисники стверджують, що вони отримали 1,5 терабайту даних, включаючи приблизно 2185,151 зображення, пов’язані з зверненнями до перевірки віку.
Ці зображення складаються з паспортів та посвідчень водія, подані користувачами Discord, які намагаються перевірити свій вік після того, як їх позначили автоматизованою системою модерації платформи.
В оновленні опублікований У своєму блозі 3 жовтня Discord підтвердив, що “несанкціонована партія” отримала доступ до стороннього екземпляра Зендеска. Компанія заявила, що інцидент вплинув на “обмежену кількість користувачів”, які зв’язалися з його командами підтримки клієнтів або довіри та безпеки.
Розбрат підкреслював, що власні сервери не були порушені, і жодних паролів користувачів, приватних повідомлень чи даних про аутентифікацію не оприлюднювали.
Однак претензії зловмисників виходять далеко за рамки початкового опису обмеженого інциденту. VX-underground спільні скріншоти зображень зразків ідентифікаторів, які нібито взяті з порушення, заявивши, що розбрат вимагається для викрадених даних.
Як повідомляється, витікають файли, включають фотографії паспортів, посвідчення водія та інші документи особи, які використовуються для перевірки. Discord не підтвердив справжність просочених зразків, але визнав, що деякі фотографії ідентифікатора є серед даних, які доступні.
Хоча офіційне розкриття Discord прагнуло мінімізувати масштаб інциденту, VX-inderground та інші спостерігачі з кібербезпеки представили іншу картину, стверджуючи, що зловмисники володіють понад 2,1 мільйона фотографій перевірки користувачів.
Група також опублікувала зразки викрадених документів для обґрунтування своїх претензій та підтвердила, що розбрат вимагається для запобігання публічному випуску.
Хоча Discord уточнив, що повні номери кредитних карток, коди CCV та приватні повідомлення не були викриті, експерти попереджають, що викрадені деталі все ще можуть бути використані для фішингу, крадіжок ідентичності чи нападів соціальної інженерії.
Порушення викликало занепокоєння щодо того, як цифрові платформи обробляють дані перевірки ідентичності. Користувачі Discord висловили розчарування в Інтернеті, зазначивши, що компанія раніше зазначала інформацію про перевірку віку буде видалена відразу після підтвердження.
Критики кажуть, що зберігання апеляційних документів створило непотрібний ризик конфіденційності, оскільки ці зображення зберігалися на зовнішніх серверах.
Discord Hack Ignites UK дискусії щодо цифрових планів посвідчення особи
Аналітики безпеки кажуть, що порушення підкреслює повторювану недолік у практиках обробки даних: навіть коли компанії аутсорсингові функції, такі як підтримка клієнтів, конфіденційна інформація може залишатися підданими, якщо постачальники не дотримуються однакових стандартів безпеки.
У цьому випадку зловмисники, схоже, націлили на середовище Zendesk Discord безпосередньо, а не на його основну інфраструктуру, скориставшись привілеями доступу зовнішньої системи.
Випадки з інциденту також розгорнулися на більш широкі політичні дискусії у Сполученому Королівстві, де новини мають підживлений Громадська опозиція до запланованої урядової національної програми цифрового посвідчення особи.
Слідом за повідомленнями про хакер розбрата, петиція, що виступає проти ініціативи перевершений 2,8 мільйона підписів, критики посилаються на порушення як доказ небезпеки централізованих цифрових систем ідентифікації, які зберігають великі обсяги чутливих даних.
Атака розбратів слідує за низкою подібних вторгнень, спрямованих на сторонніх постачальників послуг у галузі технологічної галузі. Zendesk, який надає програмне забезпечення HelpDesk для численних фірм, використовується як задній час у кількох минулих атаках.
Discord заявив, що зараз переглядає всіх зовнішніх постачальників та аудиту дозволів на доступ, щоб запобігти майбутнім інцидентам.
Станом на цей тиждень вимагання не розголошували суму викупу або термін оплати. Як повідомляється, правоохоронні органи в США та Європі розслідують цю справу, але справжність повного набору даних хакерів ще не повинна бути перевірена.
Порушення виникає на тлі оновленої уваги на безпеку цифрової ідентичності та конфіденційності користувачів. Минулого року Privado ID, спінінг з Polygon Labs, представив веб -гаманець Це дозволяє користувачам перевірити свій вік та ідентичність за допомогою Докази нульового знаннякриптографічний метод, який підтверджує особисті дані, не розкриваючи основні дані.
Ця технологія була рекламована як альтернатива конфіденційності, що зберігає конфіденційність традиційним завантаженням документів, як ті, що використовуються в процесі перевірки віку Discord.
Пост Хакери загрожують просочити паспорти користувачів 2,1 м розбрат, ліцензії на атаку на вимагання з’явився першим на Cryptonews.