Sinabi ng Discord na ang paglabag sa third-party ay nag-leak ng 70,000 mga larawan ng dokumento ng ID ng mga user

Huling pag-update: 10/10/2025
May-akda: C SourceTrail
  • Nilabag ang isang third-party na customer support provider, na naglantad ng humigit-kumulang 70,000 mga larawan ng ID ng mga user sa buong mundo.
  • Maaaring kasama sa nakalantad na data ang mga pangalan, username, email, IP address, at huling apat na digit ng mga card sa pagbabayad; walang nakuhang password o buong numero ng card.
  • Nakipag-ugnayan ang Discord sa mga apektadong user, mga secure na system, tinapos ang pakikipagtulungan sa vendor, at nakikipagtulungan sa mga awtoridad sa pagpapatupad ng batas at proteksyon ng data.
  • Ang mga claim ng 1.5 TB cache na nauugnay sa pag-verify ng edad ay itinuring na hindi tumpak at nauugnay sa isang pagtatangkang pangingikil, ayon sa isang tagapagsalita.

Generic na larawan na kumakatawan sa isang insidente sa seguridad ng Discord

Kinumpirma ng Discord ang isang insidente sa seguridad na kinasasangkutan ng a nakompromiso ang third-party na customer support provider, na nagreresulta sa pagkakalantad ng mga larawan ng dokumento ng ID para sa humigit-kumulang 70,000 user sa buong mundo. Bagama't idiniin ng kumpanya na hindi direktang na-access ang mga pangunahing system nito, naapektuhan ng paglabag ang isang vendor na tumutulong sa pagsusuri mga apela na may kaugnayan sa edad sa platform.

Ayon sa isang tagapagsalita ng kumpanya, ang insidente ay nag-trigger ng imbestigasyon at coordinated response. Ang pampublikong satsat tungkol sa napakalaking 1.5 TB na data ay natugunan: ang mga numerong iyon ay hindi tumpak at nakatali sa isang pagtatangkang pangingikil, at sinabi ng Discord na wala itong intensyon na gantimpalaan ang labag sa batas na pag-uugali.

Ano ang nangyari at kung paano nangyari ang paglabag

Na-target ng pag-atake ang isang external na provider na ginagamit ng Discord para sa suporta sa customer, kabilang ang mga team na nakatuon sa Trust & Safety. Nangongolekta ang vendor na iyon ng mga larawan ng mga opisyal na ID—gaya ng pasaporte at lisensya sa pagmamaneho—partikular upang patunayan ang mga apela tungkol sa status ng edad ng isang user, isang proseso na paminsan-minsan ay nangangailangan ng pagsusuri sa dokumento.

Sa pamamagitan ng pagkompromiso sa vendor, nakakuha ang attacker ng access sa ilang partikular na record na isinumite ng mga user na humihingi ng tulong. Ang Discord ay nagpapahiwatig na ang sarili nitong mga sistema ay hindi direktang nakapasok, at ang paglabag sa landas ay sa pamamagitan ng sistema ng third-party kaysa sa imprastraktura ng Discord.

Anong impormasyon ang nalantad

Sinasabi ng Discord na ang nakalantad na set ng data ay maaaring magsama ng ilang kategorya ng personal na impormasyon. Ang pinakasensitibong elemento ay ang presensya ng Mga larawan ng dokumento ng ID nauugnay sa pag-verify ng edad at mga kaugnay na apela.

  • Mga larawan ng dokumento ng ID (para sa pag-verify ng edad at mga apela)
  • Mga Pangalan at Discord username
  • Mga email address at IP address
  • Huling apat na digit ng mga numero ng card sa pagbabayad

Idinagdag iyon ng kumpanya hindi nakompromiso ang mga password at buong numero ng card. Bilang resulta, hindi kailangang i-reset ng mga user ang kanilang mga kredensyal dahil lamang sa pagkakalantad ng password, kahit na inirerekomenda pa rin ang mga karagdagang pag-iingat.

Saklaw ng epekto

Inilagay ng Discord ang tinatayang bilang ng mga naapektuhang account sa humigit-kumulang 70,000 user sa buong mundo. Ang figure ay partikular na tumutukoy sa mga may ID na mga larawan ng dokumento ay kasama sa dataset ng vendor na na-access ng attacker.

Habang malubha ang insidente, inulit ng Discord na mayroon walang direktang paglabag sa mga pangunahing sistema nito, at ang pagkakalantad ay limitado sa data na naproseso ng third-party na provider para sa mga workflow ng suporta.

Tugon ng kumpanya at patuloy na pagkilos

Kinumpirma ng isang tagapagsalita na mayroon ang Discord nakipag-ugnayan sa lahat ng apektadong user at patuloy na nakikipag-ugnayan sa mga tagapagpatupad ng batas, mga awtoridad sa proteksyon ng data, at mga eksperto sa panlabas na seguridad. Ang mga hakbang na ito ay naglalayong tiyakin ang pagpigil, mga abiso, at pagsunod sa mga naaangkop na regulasyon.

Sinabi ng Discord na mayroon ito sinigurado ang mga apektadong sistema at tinapos ang relasyon nito sa apektadong vendor. Binigyang-diin ng kumpanya na hindi ito magbibigay ng anumang pagbabayad o benepisyo sa mga nasa likod ng pagtatangkang pangingikil, na binibigyang-diin na ang mga naturang claim ay parehong labag sa batas at nakakalito.

Pagtugon sa maling impormasyon tungkol sa paglabag

Ang mga ulat na kumakalat sa social media ay sinasabing ang mga umaatake ay nakakuha ng tungkol sa 1.5 TB ng mga larawan sa pag-verify ng edad. Tinutulan ng tagapagsalita ng Discord ang mga pahayag na iyon, na binanggit na ang mga ito ay hindi tumpak at bahagi ng isang mas malawak na pagsisikap na pilitin ang kumpanya.

Ang paglilinaw ay ibinahagi upang itama ang rekord at mabawasan ang hindi kinakailangang panic. Ayon sa tagapagsalita, nananatili ang na-verify na saklaw humigit-kumulang 70,000 naapektuhang user, hindi isang multi-terabyte na cache.

Ano ang magagawa ng mga apektadong user ngayon

Bagama't hindi nalantad ang mga password at buong numero ng card sa pagbabayad, may mga maingat na hakbang na maaaring gawin ng mga user upang mabawasan ang panganib. Makakatulong ang mga hakbang na ito na matugunan ang potensyal na pagbagsak mula sa Larawan ng ID at data ng contact pagkakalantad.

  • Paganahin ang multi-factor authentication sa iyong Discord account (kung hindi pa aktibo).
  • Maging mas maingat sa mga mensahe na humihiling ng personal na data o mga pagbabayad, kahit na tumutukoy ang mga ito sa mga totoong detalye.
  • Subaybayan ang email address na naka-link sa iyong account para sa mga pagtatangka sa phishing.
  • Suriin ang kamakailang aktibidad sa iyong Discord at nauugnay na mga email account para sa anumang hindi pangkaraniwan.
  • Isaalang-alang ang isang serbisyo sa pagsubaybay sa kredito o pagkakakilanlan kung nagbahagi ka ng mga larawan ng government ID.

Ang pananatiling mapagbantay laban sa social engineering ay susi, dahil ang mga umaatake ay maaaring subukang mag-armas bahagyang personal na impormasyon upang makakuha ng karagdagang access sa ibang lugar.

Regulatoryo at legal na koordinasyon

Ipinahiwatig ng Discord na nakikipagtulungan ito sa mga awtoridad sa pagpapatupad ng batas at proteksyon ng data. Karaniwang kinabibilangan ito ng mga notification ng paglabag, pagpapanatili ng ebidensya, at patuloy na pag-update habang umuusad ang imbestigasyon.

Binanggit din ng kumpanya ang pakikipagtulungan mga eksperto sa panlabas na seguridad upang patunayan ang pagpigil at suportahan ang isang masusing pagsusuri sa postura ng seguridad ng vendor.

Bakit mahalaga ang isang paglabag sa vendor

Kadalasang pinangangasiwaan ng mga third-party na provider ang mga sensitibong daloy ng trabaho, gaya ng pag-verify ng edad, na ginagawa silang isang kaakit-akit na target. Kahit na mananatiling buo ang mga pangunahing sistema ng platform, maa-access pa rin ng mga umaatake mataas na halaga ng personal na data sa pamamagitan ng mga vendor na nagpoproseso ng mga pagsusumite ng user.

Binibigyang-diin ng insidenteng ito ang kahalagahan ng matatag na pamamahala ng vendor, kasama na mga kontrol sa seguridad, pag-audit, at pagtugon sa insidente binuo sa mga kontrata at patuloy na operasyon.

Ang pinakabagong update ng Discord ay nagpinta ng isang mas malinaw na larawan: a paglabag sa vendor ng suporta ng third-party naapektuhan ang humigit-kumulang 70,000 mga larawan ng ID ng mga user at ilang nauugnay na personal na detalye, ngunit hindi ang mga password o buong numero ng card. Ang kumpanya ay nag-abiso sa mga apektadong user, pinutol ang ugnayan sa vendor, sinigurado ang mga apektadong sistema, at nakikipagtulungan sa mga awtoridad habang tinatanggihan ang mga pinalaking claim na nauugnay sa di-umano'y pangingikil.

Kaugnay na mga post: