Хакеры получили доступ к личным данным некоторых пользователей сервиса Discord, в том числе к их именам, адресам электронной почты и фотографиям документов. Об этом рассказали в самой компании.
Сообщается, что утечка произошла через стороннего провайдера, обслуживающего службу поддержки Discord. Злоумышленники взломали систему провайдера и получили доступ к данным пользователей, которые ранее обращались в службу поддержки или к команде Trust & Safety.
По данным Discord, хакеры пытались вымогать у компании денежный выкуп. В результате инцидента были скомпрометированы имена пользователей, никнеймы, адреса электронной почты, IP-адреса, а также последние четыре цифры банковских карт.
Также отмечается, что злоумышленники получили доступ к переписке с технической поддержкой и, в отдельных случаях, к фотографиям удостоверений личности — например, паспортов и водительских прав, которые предоставлялись при обжаловании возрастных ограничений.
В компании подчеркнули, что прямого доступа к серверам Discord у хакеров не было. Отмечается, что сервис немедленно отозвал у подрядчика доступ к системе обработки обращений.
«Discord уже предпринял и продолжит предпринимать все необходимые меры в ответ на этот инцидент. Мы регулярно проводим аудит сторонних систем, чтобы они соответствовали нашим стандартам безопасности и конфиденциальности. В частности, мы уведомили соответствующие органы по защите данных, привлекли правоохранительные органы для расследования атаки и начали проверку наших систем обнаружения угроз и средств контроля безопасности у сторонних поставщиков поддержки», — говорится в заявлении компании.
Летом Discord ввел обязательную систему возрастной верификации для всех пользователей в Великобритании в соответствии с требованиями Закона о безопасности в интернете (UK Online Safety Act). Если автоматическая проверка не проходит, пользователям предлагается обратиться в службу поддержки и подтвердить личность, отправив фотографию документа — например, паспорта или водительского удостоверения. Именно эти изображения оказались в числе данных, утекших в результате атаки на подрядчика Discord.
