- Penyedia dukungan pelanggan pihak ketiga telah diretas, sehingga mengekspos sekitar 70,000 foto identitas pengguna di seluruh dunia.
- Data yang terekspos dapat mencakup nama, nama pengguna, email, alamat IP, dan empat digit terakhir kartu pembayaran; tidak ada kata sandi atau nomor kartu lengkap yang diambil.
- Discord menghubungi pengguna yang terkena dampak, mengamankan sistem, mengakhiri kerja sama dengan vendor, dan bekerja sama dengan penegak hukum dan otoritas perlindungan data.
- Klaim mengenai cache sebesar 1.5 TB yang terkait dengan verifikasi usia dianggap tidak akurat dan dikaitkan dengan upaya pemerasan, menurut seorang juru bicara.
Discord telah mengonfirmasi insiden keamanan yang melibatkan penyedia dukungan pelanggan pihak ketiga yang dikompromikan, yang mengakibatkan tereksposnya foto dokumen identitas sekitar 70,000 pengguna di seluruh dunia. Meskipun perusahaan menekankan bahwa sistem intinya tidak diakses secara langsung, pelanggaran tersebut memengaruhi vendor yang membantu meninjau banding terkait usia di platform.
Menurut juru bicara perusahaan, insiden tersebut telah memicu investigasi dan respons terkoordinasi. Obrolan publik tentang data sebesar 1.5 TB telah ditanggapi: angka-angka tersebut tidak akurat dan terkait dengan upaya pemerasan, dan Discord mengatakan tidak memiliki niat untuk memberi penghargaan atas perilaku yang melanggar hukum.
Apa yang terjadi dan bagaimana pelanggaran terjadi
Serangan tersebut menargetkan penyedia eksternal yang digunakan Discord untuk dukungan pelanggan, termasuk tim yang berfokus pada Kepercayaan & Keamanan. Vendor tersebut mengumpulkan gambar ID resmi—seperti paspor dan SIM—khususnya untuk memvalidasi banding mengenai status usia pengguna, suatu proses yang terkadang memerlukan peninjauan dokumen.
Dengan membobol vendor, penyerang memperoleh akses ke beberapa catatan yang dikirimkan oleh pengguna yang mencari bantuan. Discord menyatakan bahwa sistemnya sendiri tidak disusupi secara langsung, dan jalur pelanggarannya adalah melalui sistem pihak ketiga daripada infrastruktur Discord.
Informasi apa yang terungkap?
Discord menyatakan bahwa kumpulan data yang terekspos mungkin mencakup beberapa kategori informasi pribadi. Elemen yang paling sensitif adalah keberadaan Foto dokumen identitas terkait dengan verifikasi usia dan banding terkait.
- Gambar dokumen identitas (untuk verifikasi usia dan banding)
- Nama dan nama pengguna Discord
- Alamat email dan alamat IP
- Empat digit terakhir nomor kartu pembayaran
Perusahaan menambahkan bahwa kata sandi dan nomor kartu lengkap tidak dikompromikanOleh karena itu, pengguna tidak perlu mengatur ulang kredensial mereka hanya karena terpapar kata sandi, meskipun tindakan pencegahan tambahan tetap disarankan.
Ruang lingkup dampak
Discord telah memperkirakan jumlah akun yang terkena dampaknya sekitar 70,000 pengguna di seluruh duniaAngka tersebut merujuk secara khusus kepada mereka yang foto dokumen identitasnya disertakan dalam kumpulan data vendor yang diakses oleh penyerang.
Meskipun insiden ini serius, Discord menegaskan kembali bahwa ada tidak ada pelanggaran langsung terhadap sistem utamanya, dan paparannya terbatas pada data yang diproses oleh penyedia pihak ketiga untuk alur kerja dukungan.
Tanggapan perusahaan dan tindakan yang sedang berlangsung
Seorang juru bicara mengonfirmasi bahwa Discord telah menghubungi semua pengguna yang terdampak dan terus berkoordinasi dengan penegak hukum, otoritas perlindungan data, dan pakar keamanan eksternal. Langkah-langkah ini bertujuan untuk memastikan pengendalian, notifikasi, dan kepatuhan terhadap peraturan yang berlaku.
Discord mengatakan sudah memiliki mengamankan sistem yang terkena dampak dan mengakhiri hubungannya dengan vendor yang terdampak. Perusahaan tersebut menekankan bahwa mereka tidak akan memberikan pembayaran atau keuntungan apa pun kepada mereka yang berada di balik upaya pemerasan tersebut, menggarisbawahi bahwa klaim tersebut melanggar hukum dan menyesatkan.
Menangani misinformasi tentang pelanggaran
Laporan yang beredar di media sosial menduga bahwa penyerang memperoleh sekitar 1.5 TB foto verifikasi usiaJuru bicara Discord membantah klaim tersebut, dengan menyatakan bahwa klaim tersebut tidak akurat dan merupakan bagian dari upaya yang lebih luas untuk menekan perusahaan.
Klarifikasi ini dibagikan untuk mengoreksi catatan dan mengurangi kepanikan yang tidak perlu. Menurut juru bicara, cakupan yang terverifikasi masih berlaku. sekitar 70,000 pengguna yang terdampak, bukan cache multi-terabyte.
Apa yang dapat dilakukan oleh pengguna yang terdampak sekarang
Meskipun kata sandi dan nomor kartu pembayaran lengkap tidak terekspos, ada beberapa langkah bijaksana yang dapat dilakukan pengguna untuk mengurangi risiko. Langkah-langkah ini dapat membantu mengatasi potensi dampak dari Foto identitas dan data kontak paparan.
- Aktifkan autentikasi multifaktor pada akun Discord Anda (jika belum aktif).
- Berhati-hatilah dengan pesan yang meminta data pribadi atau pembayaran, meskipun pesan tersebut merujuk pada rincian sebenarnya.
- Pantau alamat email yang terhubung ke akun Anda untuk mendeteksi upaya phishing.
- Tinjau aktivitas terkini di Discord Anda dan akun email terkait untuk mengetahui hal-hal yang tidak biasa.
- Pertimbangkan layanan pemantauan kredit atau identitas jika Anda membagikan gambar tanda pengenal pemerintah.
Tetap waspada terhadap rekayasa sosial adalah kuncinya, karena penyerang mungkin mencoba menggunakan rekayasa sosial sebagai senjata. informasi pribadi sebagian untuk mendapatkan akses lebih jauh di tempat lain.
Koordinasi regulasi dan hukum
Discord telah mengindikasikan bahwa mereka berkolaborasi dengan otoritas penegakan hukum dan perlindungan dataHal ini biasanya mencakup pemberitahuan pelanggaran, penyimpanan bukti, dan pembaruan berkelanjutan seiring perkembangan investigasi.
Perusahaan juga menyebutkan bekerja sama dengan pakar keamanan eksternal untuk memvalidasi penahanan dan mendukung tinjauan menyeluruh terhadap postur keamanan vendor.
Mengapa pelanggaran vendor penting
Penyedia pihak ketiga sering menangani alur kerja sensitif, seperti verifikasi usia, sehingga menjadikannya target yang menarik. Meskipun sistem inti platform tetap utuh, penyerang tetap dapat mengakses data pribadi bernilai tinggi melalui vendor yang memproses kiriman pengguna.
Kejadian ini menggarisbawahi pentingnya manajemen vendor yang kuat, termasuk kontrol keamanan, audit, dan respons insiden dibangun dalam kontrak dan operasi yang sedang berlangsung.
Pembaruan terbaru Discord memberikan gambaran yang lebih jelas: pelanggaran vendor dukungan pihak ketiga Sekitar 70,000 foto identitas pengguna dan beberapa detail pribadi terkait terpengaruh, tetapi tidak termasuk kata sandi atau nomor kartu lengkap. Perusahaan telah memberi tahu pengguna yang terdampak, memutuskan hubungan dengan vendor, mengamankan sistem yang terdampak, dan bekerja sama dengan pihak berwenang sambil menepis klaim berlebihan yang terkait dengan dugaan pemerasan.
