Discord оказалась в центре крупного скандала, связанного с утечкой пользовательских данных. Хакерская группа, недавно взломавшая мессенджер, утверждает, что сумела получить доступ к огромному объему пользовательских данных. В частности, злоумышленники якобы располагают 1.5 терабайтами фотографий для верификации возраста, что составляет более 2.1 миллионов изображений.
Как сообщили источники Discord Previews, украденные данные используются для шантажа компании Discord – типичная практика в подобных случаях кибератак. Злоумышленники пытаются извлечь финансовую выгоду из полученной информации, угрожая ее публикацией или дальнейшим распространением.
3 октября Discord официально признала факт взлома, заявив о компрометации одного из сторонних поставщиков услуг. Инцидент произошел в конце сентября, и компания раскрыла список данных, которые могли быть скомпрометированы.
В перечень попавших под угрозу данных вошли имена пользователей, никнеймы Discord, адреса электронной почты и другие контактные данные, предоставленные в службу поддержки. Также злоумышленники могли получить доступ к ограниченной платежной информации, в том числе к последним четырем цифрам кредитных карт и истории покупок.
Хакеры получили доступ к паспортам и правам пользователей Discord при атаке на партнера компании
Кроме того, в список скомпрометированных данных попали IP-адреса пользователей, переписка со службой поддержки и ограниченные корпоративные данные, включая учебные материалы и внутренние презентации компании.
Discord заверила пользователей, что наиболее чувствительная информация не пострадала. Компания отметила, что полные номера кредитных карт и CCV-коды, личные сообщения, пароли и другие данные аутентификации не были затронуты атакой.
Особую озабоченность вызывает факт наличия в базе данных компании такого большого количества фотографий для верификации возраста. Согласно официальной политике Discord, подобные изображения должны удаляться сразу после завершения процедуры проверки возраста.
В документации компании четко указано, что Discord и партнерский сервис k-ID не сохраняют документы, удостоверяющие личность, или видеоселфи на постоянной основе. Изображения документов и селфи для сопоставления лиц удаляются сразу после подтверждения возрастной группы пользователя, а видеоселфи для оценки возраста вообще не покидают девайс пользователя.
Противоречие между заявленной политикой безопасности и реальным положением дел ставит серьезные вопросы о практиках обработки и хранения персональных данных в Discord. Наличие более двух миллионов фотографий в базе данных компании указывает на возможные нарушения собственных протоколов безопасности.