Discord potwierdza wyciek dokumentów tożsamości. 70 tysięcy użytkowników mogło stracić dane osobowe
Kiedy platforma komunikacyjna powierza nasze najbardziej wrażliwe dane zewnętrznym dostawcom, zawsze istnieje ryzyko. Discord właśnie przekonał się o tym boleśnie, a konsekwencje mogą dotknąć dziesiątki tysięcy użytkowników na całym świecie. Co właściwie stało się z danymi, które powierzyliśmy platformie? Sprawa okazuje się znacznie poważniejsza, niż początkowo sądzono, a cała sytuacja każe zastanowić się nad bezpieczeństwem informacji w erze cyfrowej.
Kiedy Discord po raz pierwszy informował o naruszeniu u partnera obsługi klienta, wymienił listę skradzionych danych, która — choć nieprzyjemna — wydawała się standardowa dla tego typu incydentów: imiona, nazwy użytkownika, e-maile, niektóre szczegóły kontaktowe i wiadomości z agentami obsługi klienta. Wspomniano też o ograniczonych danych rozliczeniowych (typ płatności, ostatnie cztery cyfry karty) oraz adresach IP.
Czytaj też: Ucz się z AI i to za darmo. Google startuje z promocją na Gemini, jakiej jeszcze nie było
Na samym końcu listy, trochę po macoszemu, dodano wzmiankę o dostępie do “niewielkiej liczby zdjęć dokumentów tożsamości wydanych przez organy państwowe (np. prawo jazdy, paszport) od użytkowników, którzy odwoływali się od ustalonego wieku“. Język użyty w tym pierwszym komunikacie zdawał się umniejszać powagę sytuacji.
Sytuacja uległa dramatycznej zmianie, gdy badacz bezpieczeństwa vx-underground opublikował na platformie X informację, że rzeczywista skala problemu jest znacznie większa i dotyczy milionów zdjęć dokumentów. Choć Discord nie potwierdził tych ogromnych liczb, był zmuszony do szybkiej reakcji i uściślenia skali wycieku w oświadczeniu dla mediów, między innymi dla The Verge.
Rzecznik Discorda, Nu Wexler, stwierdził, że krążące w sieci liczby są “nieprawidłowe” i są częścią próby wymuszenia okupu przez sprawców ataku. Potwierdził jednak, że problem dotyczy już nie “niewielu“, a około 70 000 użytkowników na całym świecie, których “zdjęcia dokumentów identyfikacyjnych wydanych przez organy państwowe mogły zostać ujawnione“.
Czytaj też: Wiadomości Google stają się jeszcze bezpieczniejsze. Ostrzeżenia o wrażliwych treściach wkraczają do wideo
Chociaż to o wiele mniej niż 2 miliony, nadal mówimy o 70 tysiącach osób, których prawo jazdy, czy paszport mogły trafić w niepowołane ręce. To najbardziej wrażliwy element całego wycieku. Reszta danych, choć nieprzyjemna (jak adresy e-mail czy nazwy użytkownika), nie jest aż tak problematyczna jak pełne dokumenty tożsamości. Discord jasno zadeklarował, że nie ulegnie szantażowi przestępców, a także zakończył współpracę z zhakowanym zewnętrznym dostawcą i zabezpieczył swoje systemy. Firma zapewnia, że wszyscy poszkodowani użytkownicy są informowani o incydencie za pośrednictwem poczty e-mail (z adresu [email protected]).
Czytaj też: WhatsApp przełamuje bariery językowe na iPhone’ach, a przy tym dba o prywatność
Cała sytuacja stanowi ważną lekcję dotyczącą ryzyk związanych z powierzaniem wrażliwych danych zewnętrznym dostawcom. Discord będzie musiał teraz nie tylko wyjaśnić okoliczności incydentu, ale także odbudować zaufanie swojej społeczności. Jako użytkownicy powinniśmy zachować czujność i regularnie monitorować nasze konta pod kątem podejrzanych aktywności. Warto też przemyśleć, jakie dane faktycznie musimy udostępniać platformom internetowym, bo czasem mniej znaczy bezpieczniej. Platformy technologiczne muszą zrozumieć, że bezpieczeństwo danych to nie tylko ich wewnętrzne systemy, ale także każdy partner i dostawca, z którym współpracują. Ten incydent powinien posłużyć jako przestroga dla całej branży.