W sieci zawrzało po tym, jak hakerzy ogłosili, iż udało im się wykraść ponad dwa miliony zdjęć dokumentów użytkowników Discorda. Według nich łupem miały paść pliki zawierające dowody tożsamości, paszporty i prawa jazdy, które użytkownicy wysyłali podczas weryfikacji wieku lub przy próbie odblokowania konta. Brzmi poważnie – i faktycznie, sprawa wygląda niepokojąco, choć rzeczywistość może być nieco mniej dramatyczna, niż sugerują tytuły na forach i platformach X.
Discord gwałtownie zareagował na medialną burzę i poinformował, iż sam nie padł ofiarą bezpośredniego ataku. Problem miał dotyczyć zewnętrznego partnera, który zajmuje się obsługą zgłoszeń użytkowników. To właśnie jego systemy zostały zaatakowane i z nich mogły wyciec dane. Firma przyznała jednak, iż część plików faktycznie mogła zostać naruszona – ale mowa o około 70 000 zdjęciach, a nie o ponad dwóch milionach, jak twierdzili napastnicy. Discord podkreślił, iż natychmiast po wykryciu incydentu zakończono współpracę z zaatakowanym dostawcą i rozpoczęto wewnętrzne dochodzenie.
Szantaż, chaos i półprawdy
Hakerzy, którzy przyznali się do ataku, twierdzą, iż zdobyli łącznie 1,5 terabajta danych. Wśród nich miały się znaleźć nie tylko zdjęcia dokumentów, ale także fragmenty wiadomości do działu pomocy technicznej, adresy e-mail, imiona, nazwiska i dane kont. Ich zdaniem atak miał pokazać, iż Discord nie potrafi wystarczająco dobrze chronić swoich użytkowników. Firma z kolei utrzymuje, iż to manipulacja i próba wymuszenia okupu. Złodzieje mieli zażądać 3,5 mln dolarów w zamian za „zniszczenie” skradzionych danych – Discord odmówił jakichkolwiek negocjacji.
Eksperci od bezpieczeństwa zauważają, iż to kolejny przykład, jak groźne mogą być luki w firmach zewnętrznych, które obsługują dane wrażliwe. choćby jeżeli główna platforma ma solidne zabezpieczenia, wystarczy jedna słaba strona w łańcuchu, by dane użytkowników trafiły w niepowołane ręce. W tym przypadku zawiódł właśnie podwykonawca odpowiedzialny za weryfikację wieku. Co ciekawe, podobne incydenty zdarzały się już wcześniej – w przeszłości ofiarami podobnych ataków padały firmy zajmujące się weryfikacją tożsamości dla dużych serwisów społecznościowych i platform gier.
Źródło: Wallpapers.comCo powinni zrobić użytkownicy?
Dla przeciętnego użytkownika Discorda ryzyko nie jest ogromne, ale nie można go też bagatelizować. Najbardziej narażone są osoby, które w ostatnich miesiącach przesyłały swoje zdjęcia dokumentów w celu odblokowania konta lub potwierdzenia wieku. Discord zapewnia, iż osoby dotknięte incydentem zostaną powiadomione indywidualnie. Warto jednak na wszelki wypadek zachować ostrożność – zmienić hasło, włączyć uwierzytelnianie dwuetapowe i uważać na podejrzane wiadomości, które mogą próbować podszywać się pod obsługę serwisu.
Sam Discord deklaruje, iż w odpowiedzi na incydent planuje dokładny przegląd procedur bezpieczeństwa, a także ograniczenie zakresu danych dostępnych dla partnerów zewnętrznych. Firma nie zamierza chować głowy w piasek i otwarcie przyznaje, iż ten wyciek – niezależnie od skali – jest dla niej sygnałem ostrzegawczym. Przedstawiciele spółki zapowiedzieli też, iż zespół odpowiedzialny za ochronę danych użytkowników zostanie rozbudowany.
Zaufanie trudne do odbudowania
Mimo iż Discord uspokaja sytuację, trudno oprzeć się wrażeniu, iż zaufanie społeczności zostało nadszarpnięte. Wielu użytkowników zwraca uwagę, iż to już kolejny przypadek w ostatnich miesiącach, gdy ich prywatne dane mogą znajdować się w niepowołanych rękach. Choć firma przekonuje, iż tym razem obyło się bez katastrofy, to sam fakt, iż tak delikatne dane jak zdjęcia dokumentów mogły zostać przechwycone, budzi zrozumiały niepokój.
Ostatecznie, niezależnie od tego, czy hakerzy rzeczywiście zdobyli dwa miliony zdjęć, czy „tylko” siedemdziesiąt tysięcy, jedno jest pewne – użytkownicy internetu muszą coraz częściej polegać nie tylko na zabezpieczeniach platform, ale i na własnej ostrożności. Bo jak pokazuje ten przypadek, choćby jeżeli główny system jest bezpieczny, to nie zawsze możemy być pewni, iż nasz dowód osobisty w chmurze kogoś nie skusi.
Źródło: Techspot / Zdjęcie tytułowe: Wallpapers.com
