Korisnici Discorda koji su slali svoje osobne dokumente korisničkoj podršci kako bi zaobišli novu starosnu provjeru na platformi, sada primaju obavijesti da su njihove fotografije dospjele u ruke hakera. I dok Discord tvrdi da je riječ o ograničenom incidentu, hakeri navodno posjeduju znatno veći broj podataka nego što je kompanija priznala.
Nakon što je Discord potvrdio da je krajem rujna došlo do cyber napada na vanjskog izvođača koji obrađuje korisničke zahtjeve, pojavile su se tvrdnje da su napadači došli do čak 1,5 terabajta korisničkih dokumenata, što bi značilo oko 2,1 milijun fotografija osobnih iskaznica. Discord je takve tvrdnje nazvao “pretjeranima” i “pokušajem ucjene”, ističući da je stvarni broj pogođenih korisnika bliži 70 tisuća.
Napad je povezan s kompromitiranjem Zendesk sustava, koji Discord koristi za podršku korisnicima. Procurili su osobni podaci poput imena, e-mail adresa, Discord korisničkih imena, IP adresa, povijesti razgovora s agentima podrške, pa čak i djelomičnih podataka o naplati. Iako nisu otkriveni brojevi kartica, riječ je o ozbiljnom narušavanju privatnosti.
Fotografije osobnih iskaznica koje su procurile pripadale su korisnicima koji su pokušali dokazati svoju dob nakon što im je aplikacija zaključala pristup kanalima i serverima s dobnom granicom. Takva provjera dobi dio je sve raširenijeg globalnog trenda – od Francuske i Ujedinjenog Kraljevstva pa do SAD-a – kojim se platforme prisiljavaju da potvrde identitet korisnika, posebno mlađih od 18 godina.
No, upravo ovaj incident pokazuje koliko su ti sustavi krhki. Iako su tvrtke poput Discorda tvrdile da ne pohranjuju osobne dokumente i da su svi podaci “privremeni i šifrirani”, hakerski napadi dokazuju suprotno.
Slučaj također podsjeća na sličan incident iz srpnja, kada je više od 72 tisuće slika – uključujući osobne dokumente – procurilo iz sigurnosne aplikacije za spojeve pod nazivom Tea, nakon što su podaci ostavljeni nezaštićeni u oblaku.
Stručnjaci savjetuju pogođenim korisnicima da budu oprezni s phishing porukama i lažnim obavijestima o verifikaciji, jer napadači često koriste ovakve situacije kako bi izvukli dodatne informacije.
Ovaj događaj ponovno otvara raspravu o zakonima koji zahtijevaju obaveznu provjeru identiteta. Dok vlade tvrde da se radi o mjeri zaštite djece, stručnjaci za sigurnost upozoravaju da se time stvara ogromna količina osjetljivih podataka – savršena meta za buduće napade. I dok jedni šalju svoje dokumente, drugi su već pronašli načine da zaobiđu nova pravila – od VPN-ova do improviziranih trikova s video isječcima koji zavaravaju AI skenere.
