- Ataka prieš trečiosios šalies palaikymo paslaugų teikėją paviešino „Discord“ vartotojų, kurie susisiekė su klientų aptarnavimo tarnyba ir „Pasitikėjimo ir saugumo“ skyriumi, duomenis.
- Buvo pažeisti vardai, el. pašto adresai, IP adresai, pagalbos pranešimai ir ribota mokėjimo informacija; kai kuriais atvejais – asmens tapatybės dokumentų vaizdai.
- „Discord“ teigia, kad jos vidinės sistemos nebuvo pažeistos; nebuvo nutekinti jokie slaptažodžiai ar pilni kredito kortelių numeriai.
- Bendrovė atšaukė tiekėjo prieigą, tiria incidentą ir praneša apie tai iš... [apsaugotas el. paštu] ir rekomenduoja imtis ypatingų atsargumo priemonių nuo sukčiavimo apsimetant.
Un kibernetinė ataka prieš trečiosios šalies palaikymo teikėją sukėlė Su „Discord“ klientų aptarnavimo ir pasitikėjimo bei saugumo komanda susisiekusių vartotojų duomenų atskleidimasĮsilaužėliai pasiekė informaciją, siunčiamą į tuos kanalus, ir Jie bandė išgauti pinigus su leidiniu to, kas buvo pavogta.
Platforma patvirtina, kad jos pagrindinė infrastruktūra nebuvo pažeista ir kad taikymo sritis apsiriboja sąveika su palaikymo tarnyba. Bendrovė pradėjo teismo ekspertizę, įspėja nukentėjusiuosius ir sustiprino trečiųjų šalių kontrolę, kad būtų išvengta panašių incidentų.
Incidentas ir jo mastas
Pasak bendrovės, Neteisėta prieiga įvyko rugsėjo 20 d., o individualūs pranešimai pradėti teikti kitomis dienomis.„Discord“ pažymi, kad poveikis Tai paveikia ribotą skaičių žmonių, kurie anksčiau pateikė užklausas arba susisiekė su pasitikėjimo ir saugos komandomis..
El Įėjimo taškas buvo ne platformos serveris, o išorinis operatorius, kuris valdo dalį klientų aptarnavimo.Šiame epizode parodoma, kaip gali susilpnėti gerų standartų paslauga skaitmeninės tiekimo grandinės grandis, kur kontrolė ir stebėsena yra sudėtingesni.
Bendrovė pabrėžia, kad Nėra jokių įsilaužimo į jos vidines sistemas ar serverių bei kanalų, nepatenkančių į palaikymo sritį, turinio požymių.Pasiekta informacija atitinka pagalbos tarnybai išsiųstus pranešimus, priedus ir metaduomenis, o tai dažnai nutinka tvarkant užklausas, skundus ar patvirtinimus.
Kokie duomenys buvo paviešinti
Remiantis bendrovės pateikta informacija, laukai, kurie galėjo būti pažeisti, apima: Kontaktinė informacija, su bilietais susijusi veikla ir dalinio mokėjimo informacijaKonkrečiais atvejais tariamai buvo paviešinti ir amžiaus patvirtinimui naudotų asmens tapatybės dokumentų vaizdai.
- Vardai ir „Discord“ vartotojo vardas.
- El. Pašto adresai ir kita kontaktinė informacija.
- IP adresai susiję su komunikacijomis.
- Žinutės ir priedai, išsiųsti pagalbos tarnybai arba pasitikėjimo ir saugos komandai.
- Ribota mokėjimo informacija: metodo tipas ir paskutiniai 4 skaitmenys kortelės, be to, pirkimo istorija.
- Nedidelis skaičius asmens tapatybės dokumentų atvaizdai (pvz., vairuotojo pažymėjimas arba pasas) apeliacijoms amžiaus patvirtinimas „Discord“ platformoje.
- Įmonės medžiaga vidaus, pavyzdžiui, pristatymus ar mokymo turinį.
„Discord“ pabrėžia, kad nebuvo nutekinti jokie slaptažodžiai, autentifikavimo žetonai arba pilni kortelės numeriaiir kad privačios žinutės, nesusijusios su palaikymo tarnyba, nėra incidento dalis.
„Discord“ atsakas ir atlikti veiksmai
Kaip neatidėliotiną veiksmą bendrovė atšaukė pažeisto tiekėjo prieigą, izoliavo paveiktas sistemas ir pradėjo tyrimą su išoriniais kibernetinio saugumo specialistais.
La Bendravimas su potencialiai nukentėjusiais asmenimis vykdomas paštu iš adreso, [apsaugotas el. paštu]Platforma pabrėžia, kad šiuo klausimu telefonu nesikreipia ir prašo ignoruoti įtartinų žinučių ar skambučių pasinaudoti situacija.
Be to, „Discord“ informavo atitinkamas institucijas ir... auditų ir kontrolės stiprinimas trečiosioms šalims, ypatingą dėmesį skiriant grėsmių aptikimui, prieigos valdymui ir minimaliam duomenų saugojimui tarp paslaugų teikėjų.
Rizika ir patarimai vartotojams
Turėdami gautą informaciją, užpuolikai galėtų pabandyti sukčiavimas sukčiavimu, socialinė inžinerija arba apsimetinėjimas kitu asmeniu prekės ženklo atstovams prašyti papildomų duomenų arba platinti kenkėjiškas nuorodas. Ši rizika yra didesnė, kai yra ankstesnis bendravimas su palaikymo tarnyba kurie leidžia perduoti labai patikimus pranešimus.
Nors „Discord“ nurodo, kad šiuo atveju slaptažodžio keisti nereikia, protinga sustiprinti paskyros apsaugą ir padidinti budrumą prieš bet kokį netikėtą kontaktą.
- Įjunkite ir patikrinkite dviejų pakopų autentifikavimas (pageidautina su kodo programėle).
- Įtariai el. laiškus ar asmenines žinutes, kuriose prašoma duomenų; patikrinkite, ar visi pranešimai siunčiami iš [apsaugotas el. paštu].
- Patikrink savo mokėjimo operacijos Jei naudojatės „Nitro“ ar kitomis paslaugomis, nustatykite aktyvumo įspėjimus.
- Jei pakartotinai naudojate slaptažodžius, apsvarstykite galimybę juos pakeisti ir naudoti slaptažodžių tvarkyklė už unikalius ir patikimus įgaliojimus.
- Venkite persiuntimo ar pakartotinio įkėlimo asmens dokumentai už oficialių ir užšifruotų kanalų ribų.
Jei gavote el. laišką su pranešimu, jis ten išsamiai aprašytas. kokių tipų duomenys buvo paveikti jūsų atveju. Net jei įspėjimo nėra, patartina išlikti budriems ir nebendrauti su nepageidaujamomis nuorodomis ar failais.
Šis atvejis pabrėžia, kad platformos saugumas taip pat priklauso nuo jos partnerių: pažeidžiama trečioji šalis gali tapti trumpiausiu keliu užpulti visą bendruomenę. „Discord“ reakcija buvo greita ir skaidri, tačiau dabar prioritetas yra sumažinti piktnaudžiavimo riziką gautas iš pateiktos informacijos.
Esu technologijų entuziastas, savo „geek“ pomėgius pavertęs profesija. Daugiau nei 10 savo gyvenimo metų praleidau naudodamas pažangiausias technologijas ir iš gryno smalsumo kūriau visas programas. Dabar aš specializuojasi kompiuterinėse technologijose ir vaizdo žaidimuose. Taip yra todėl, kad daugiau nei 5 metus rašau įvairioms interneto svetainėms apie technologijas ir vaizdo žaidimus, kurdamas straipsnius, kuriuose noriu pateikti jums reikalingą informaciją visiems suprantama kalba.
Jei turite klausimų, mano žinios svyruoja nuo visko, kas susiję su Windows operacine sistema, taip pat su Android mobiliesiems telefonams. Ir aš įsipareigoju jums, aš visada pasiruošęs skirti kelias minutes ir padėti jums išspręsti visus klausimus, kurie jums gali kilti šiame interneto pasaulyje.