Η δημοφιλής πλατφόρμα επικοινωνίας για gamers φαίνεται να βρίσκεται στο κέντρο μιας μεγάλης κυβερνοεπίθεσης, με τους χάκερ να φέρεται ότι εκβιάζουν την εταιρεία για να μην κυκλοφορήσουν 1,5TB προσωπικών δεδομένων.
Όλα ξεκίνησαν με ένα σχετικά ήπιο email που έλαβαν αρκετοί χρήστες του Discord στις 20 Σεπτεμβρίου. Στο μήνυμα η εταιρεία ανέφερε ότι υπήρξε «πρόσφατο περιστατικό ασφαλείας» που επηρέασε ορισμένα προσωπικά δεδομένα, χωρίς ωστόσο να περιλαμβάνονται πλήρη στοιχεία πιστωτικών καρτών ή διευθύνσεις. Το email συνιστούσε στους χρήστες να παραμείνουν “σε εγρήγορση” για ύποπτα μηνύματα. Όπως αποδείχθηκε όμως, η κατάσταση είναι πολύ πιο σοβαρή.
Σύμφωνα με νεότερο ρεπορτάζ, η επίθεση δεν περιορίστηκε σε “λίγα” αρχεία. Οι δράστες ισχυρίζονται ότι απέκτησαν πρόσβαση σε 1,5 terabyte δεδομένων, συμπεριλαμβανομένων φωτογραφιών ταυτοτήτων (όπως διαβατήρια και διπλώματα οδήγησης) που είχαν ανεβάσει χρήστες που έκαναν ένσταση για την ηλικία τους στην πλατφόρμα.
Η ίδια η Discord παραδέχτηκε σε δήλωσή της στο The Verge ότι ενδέχεται έως και 70.000 χρήστες να έχουν εκτεθεί. Ήδη στην Καλιφόρνια έχει κινηθεί ομαδική αγωγή εναντίον της εταιρείας.
Ένα από τα προβλήματα που ανέδειξε η υπόθεση είναι οι νέοι νόμοι που απαιτούν ταυτοποίηση ηλικίας μέσω εγγράφων, όπως ο Online Safety Act στο Ηνωμένο Βασίλειο. Παρότι οι νόμοι αυτοί στοχεύουν στη “διασφάλιση των ανηλίκων”, στην πράξη ωθούν τις εταιρείες να συλλέγουν ευαίσθητα δεδομένα, αυξάνοντας τον κίνδυνο μαζικών διαρροών. Όπως δήλωσε η ακτιβίστρια κατά της επιτήρησης Sarah Philips στο Kotaku, «οι online ταυτοποιήσεις μπορεί να φαίνονται λογικές, αλλά στην πραγματικότητα ανοίγουν τον δρόμο για πιο εκτεταμένη παρακολούθηση και λογοκρισία».
Οι χάκερ, σύμφωνα με το 404 Media, απειλούν να δημοσιεύσουν τμηματικά τα δεδομένα που κατέχουν, τα οποία περιλαμβάνουν αριθμούς τηλεφώνων, στοιχεία λογαριασμών και screenshots από ταυτοποιήσεις χρηστών. Μεταξύ των εγγράφων φέρεται να υπάρχουν και tickets υποστήριξης που ανήκουν σε άτομα εμπλεκόμενα σε πρόσφατα περιστατικά βίας.
Το ερώτημα που προκύπτει είναι πώς ακριβώς αποκτήθηκαν όλα αυτά τα δεδομένα. Η εταιρεία ZenDesk, που παρέχει υπηρεσίες υποστήριξης στο Discord, δήλωσε ότι τα δικά της συστήματα «δεν παραβιάστηκαν». Πηγές της κοινότητας infosec αναφέρουν ότι η διαρροή προήλθε από outsourced υπάλληλο υποστήριξης, κάτι που δείχνει για άλλη μια φορά πόσο επικίνδυνες είναι οι αλυσίδες εξωτερικών συνεργατών όταν δεν υπάρχει επαρκής έλεγχος.
Ο εκπρόσωπος του Discord, Nu Wexler, δήλωσε:
«Όλοι οι χρήστες που επηρεάστηκαν έχουν ειδοποιηθεί. Συνεργαζόμαστε με τις αρχές και ανεξάρτητους ειδικούς ασφαλείας, ενώ διακόψαμε κάθε συνεργασία με τον προμηθευτή που παραβιάστηκε. Κατανοούμε την ανησυχία των χρηστών και παίρνουμε πολύ σοβαρά την προστασία των προσωπικών τους δεδομένων».
Παρά τις διαβεβαιώσεις αυτές, το γεγονός ότι μια πλατφόρμα με εκατοντάδες εκατομμύρια ενεργούς χρήστες μπορεί να διαρρεύσει τόσο ευαίσθητα στοιχεία προκαλεί ανησυχία. Αν οι χάκερ όντως διαθέτουν ολόκληρα gigabytes από προσωπικές πληροφορίες, τότε η υπόθεση αυτή θα μας απασχολήσει για καιρό.
Πηγή: zappit.gr
