Discord, jedna z wiodących na świecie platform komunikacyjnych dla społeczności graczy i użytkowników internetowych, potwierdziła naruszenie bezpieczeństwa danych przez zewnętrznego dostawcę usług obsługi klienta, które spowodowało ujawnienie poufnych informacji o użytkownikach. Naruszenie dotyczyło części użytkowników, którzy wcześniej kontaktowali się z działem obsługi klienta lub zespołem ds. zaufania i bezpieczeństwa Discord, narażając dane osobowe, takie jak imiona i nazwiska, adresy e-mail, a w niektórych przypadkach zeskanowane kopie dokumentów tożsamości wydanych przez organy rządowe.
Discord podkreślił, że jego podstawowa infrastruktura, bazy danych i systemy uwierzytelniania użytkowników nie zostały bezpośrednio naruszone. Naruszenie wynikało natomiast z nieuprawnionego włamania do systemów zewnętrznego dostawcy, który zarządza operacjami obsługi zgłoszeń serwisowych Discord — częstym celem ataków na łańcuch dostaw.
Zgodnie z oficjalnym oświadczeniem Discord, osoba atakująca uzyskała dostęp poprzez przejęcie danych uwierzytelniających należących do pracowników zewnętrznego dostawcy. Umożliwiło to nieuprawniony dostęp do niektórych zapisów pomocy technicznej zawierających informacje przekazane przez użytkowników. Discord poinformował, że celem złośliwego podmiotu wydawało się być wymuszenie finansowe, taktyka coraz częściej stosowana w cyberprzestrzeni, co widać na przykładzie ostatnich ataków na takie podmioty jak Okta i Twilio.
Po wykryciu naruszenia Discord natychmiast cofnął dostawcy dostęp do systemów wewnętrznych i zainicjował kompleksową reakcję na incydent. Firma zwróciła się o pomoc do wiodącej firmy zajmującej się kryminalistyką cyfrową i cyberbezpieczeństwem w celu określenia zakresu włamania, a także powiadomiła organy ścigania, w tym organy regulacyjne ds. ochrony danych zgodnie z RODO i innymi odpowiednimi ramami dotyczącymi prywatności.
Ujawnione dane dotyczą przede wszystkim użytkowników, którzy kontaktowali się z zespołami pomocy technicznej Discord. Potencjalnie ujawnione informacje obejmują:
- Pełne imiona i nazwiska oraz nazwy użytkowników Discord
- Adresy e-mail i powiązane dane kontaktowe
- Wiadomości z zgłoszeń do pomocy technicznej, w tym załączniki i korespondencja z pracownikami
- Adresy IP zarejestrowane podczas interakcji z pomocą techniczną
Ograniczona liczba rekordów zawierała również częściowe informacje rozliczeniowe, takie jak rodzaj płatności, historia transakcji i cztery ostatnie cyfry numerów kart kredytowych.
Co najważniejsze, niewielka liczba użytkowników, którzy przesłali zeskanowane dokumenty tożsamości ze zdjęciem (prawa jazdy, paszporty lub inne oficjalne dokumenty) w celu weryfikacji wieku lub potwierdzenia tożsamości, ujawniła te zdjęcia. Chociaż Discord wyjaśnił, że nie uzyskano dostępu do pełnych danych dotyczących płatności, prywatnych wiadomości bezpośrednich i haseł do kont, ujawnienie dokumentów tożsamości wydanych przez rząd budzi obawy dotyczące kradzieży tożsamości i nadużycia dokumentów.
W odpowiedzi na naruszenie bezpieczeństwa firma Discord:
1. Zablokowała dostęp wszystkim zewnętrznym dostawcom do czasu przeprowadzenia kompleksowego przeglądu bezpieczeństwa.
2. Powiadomiła bezpośrednio użytkowników, których dotyczyło naruszenie, za pośrednictwem oficjalnej wiadomości e-mail wysłanej z adresu noreply@discord.com.
3. Zgłosił incydent globalnym organom ochrony danych zgodnie z RODO i amerykańskimi przepisami dotyczącymi prywatności na poziomie stanowym, takimi jak California Consumer Privacy Act (CCPA).
4. Wdrożył bardziej rygorystyczną ocenę ryzyka dostawców, w tym obowiązkowe uwierzytelnianie wieloskładnikowe (MFA) i ulepszone monitorowanie punktów końcowych dla wszystkich systemów partnerskich. Egzekwuje zgodność z wymaganiami SOC 2 i ISO/IEC 27001.
Firma wezwała również użytkowników do zachowania ostrożności wobec potencjalnych kampanii phishingowych podszywających się pod przedstawicieli Discord. Oszuści często wykorzystują publiczne ogłoszenia o naruszeniach bezpieczeństwa, aby kierować do poszkodowanych użytkowników fałszywe wiadomości dotyczące „odzyskiwania konta” lub „odszkodowania”. Discord podkreślił, że nie będzie kontaktował się z użytkownikami telefonicznie ani nie będzie prosił o podanie poufnych informacji za pośrednictwem niechcianych wiadomości.
Ten incydent podkreśla utrzymującą się słabość współczesnych ekosystemów cyberbezpieczeństwa — ryzyko związane z podmiotami zewnętrznymi. Nawet firmy posiadające solidne zabezpieczenia wewnętrzne pozostają podatne na zagrożenia ze strony zewnętrznych dostawców, którzy zarządzają wrażliwymi danymi. Według raportu IBM Security z 2024 r. ponad 60% naruszeń bezpieczeństwa danych dotyczy obecnie podmiotów zewnętrznych, a platformy obsługi klienta należą do najczęściej atakowanych.
Naruszenie bezpieczeństwa Discord jest kolejnym z serii podobnych incydentów w branży technologicznej:
- W 2023 r. firma Okta padła ofiarą naruszenia bezpieczeństwa poprzez swój system obsługi klienta, w wyniku czego ujawniono tokeny sesji klientów korporacyjnych.
- Twilio, inny duży dostawca usług komunikacyjnych, doświadczył podobnego naruszenia w 2022 r. w wyniku ataków socjotechnicznych na pracowników zewnętrznych partnerów.
- Nawet systemy rządowe stanęły w obliczu naruszeń wynikających ze słabo zabezpieczonych danych uwierzytelniających dostawców.
Te podobieństwa tych wydarzeń podkreślają rosnące znaczenie audytów bezpieczeństwa łańcucha dostaw i ram zgodności dostawców, takich jak SOC 2, ISO/IEC 27001 i NIST SP 800-161, w celu ograniczenia pośredniego ryzyka narażenia.
Discord doradza użytkownikom, którzy mogli zostać dotknięci tym problemem, aby:
- Monitorowali swoje konta e-mail pod kątem podejrzanych prób logowania lub wiadomości.
- Zachowali szczególną czujność wobec wiadomości phishingowych podszywających się pod Discord.
- Użytkownicy, których identyfikatory zostały ujawnione, powinni rozważyć zgłoszenie ostrzeżenia o oszustwie lub zamrożenie kredytu w odpowiednich biurach kredytowych.
- Zmienić hasła do wszystkich kont, które mają te same dane logowania lub dane kontaktowe, co konto Discord.
Użytkownicy mogą też sprawdzić, czy ich dane pojawiły się w znanych przypadkach naruszenia bezpieczeństwa danych, korzystając z usług takich jak Have I Been Pwned, darmowego narzędzia monitorującego, które poleca wielu ekspertów od cyberbezpieczeństwa.
W swoim publicznym oświadczeniu Discord potwierdził swoje zaangażowanie w ochronę prywatności użytkowników, przejrzystość i ochronę danych. Firma oświadczyła, że „podejmuje kompleksowe działania w celu wzmocnienia nadzoru bezpieczeństwa stron trzecich i zapewnienia, że wszyscy dostawcy przestrzegają standardów ochrony danych Discord”.
Chociaż żaden system nie może zagwarantować całkowitego bezpieczeństwa, analitycy ds. cyberbezpieczeństwa sugerują, że otwarte ujawnianie informacji, szybkie ograniczanie skutków i przejrzysta komunikacja – jak widać na przykładzie postępowania Discord w przypadku naruszenia bezpieczeństwa – są kluczowymi elementami utrzymania zaufania użytkowników w erze cyfrowej.
Chociaż firma Discord zareagowała szybko i w sposób przejrzysty, zdarzenie to pokazuje, jak partnerzy zewnętrzni mogą stać się najsłabszym ogniwem w łańcuchu bezpieczeństwa organizacji. Szybkie opanowanie sytuacji i powiadomienie użytkowników przez firmę są zgodne z najlepszymi praktykami branżowymi, ale naruszenie bezpieczeństwa przypomina, że bezpieczeństwo ekosystemu dostawców musi pozostać centralnym filarem zarządzania ryzykiem cyfrowym w przyszłości.
