Resumo
- Discord confirmou um vazamento de dados causado por falha em um fornecedor terceirizado, sem afetar senhas ou dados de autenticação.
- Informações expostas incluem nome, e-mail, nome de usuário, IPs, dados limitados de cobrança e mensagens com o suporte.
- Segundo o Discord, houve uma tentativa de extorsão financeira.
- A plataforma alerta para golpes e afirma que comunicados oficiais sobre o vazamento vêm somente do e-mail noreply@discord.com.
O Discord comunicou que dados de usuários foram expostos após um incidente de segurança. A empresa ressaltou que a falha não ocorreu em seus sistemas internos, mas sim nos de um fornecedor terceirizado que presta serviços de atendimento ao cliente para a plataforma.
Segundo o comunicado oficial, um agente não autorizado conseguiu acesso ao sistema de tickets de suporte, comprometendo informações de pessoas que entraram em contato com as equipes de atendimento ou de segurança.
A companhia afirma ainda que, assim que tomou conhecimento do ataque, revogou o acesso do parceiro e iniciou uma investigação interna, além acionar as autoridades. O objetivo do invasor, de acordo com o Discord, era tentar uma extorsão financeira. A empresa não revelou os valores pedidos.
O que pode ter sido exposto?
O Discord está notificando por e-mail os usuários que foram impactados pelo incidente. A empresa detalhou que os seguintes dados podem ter sido acessados pelo invasor:
- Nome, nome de usuário no Discord, e-mail e outros detalhes de contato fornecidos ao suporte;
- Informações limitadas de cobrança, como tipo de pagamento, os últimos quatro dígitos do cartão de crédito e histórico de compras;
- Endereços de IP;
- Mensagens trocadas com os agentes de atendimento ao cliente;
- Um pequeno número de imagens de documentos de identidade (como CNH e passaporte) enviados por usuários em processos de apelação de idade.
Por não ser um ataque aos servidores do Discord, chats e canais não estão entre os alvos do vazamento. Entretanto, neste ano, um grupo de pesquisadores gerou polêmica ao tornar públicas mais de 2 bilhões de mensagens do Discord. Apesar de, segundo o estudo, se tratarem de dados de grupos públicos, o levantamento gerou preocupação por menores de idade estarem entre os principais usuários da plataforma.
E as senhas?
A empresa fez questão de tranquilizar os usuários e listou informações que não foram comprometidas no ataque, já que os sistemas principais do Discord não foram invadidos. Os dados que permanecem seguros incluem:
- Senhas e dados de autenticação;
- Números completos de cartão de crédito ou códigos CCV;
- Mensagens ou atividades na plataforma fora do que foi discutido com o suporte.
O Discord reforça que as notificações oficiais sobre o caso estão sendo enviadas exclusivamente pelo e-mail noreply@discord.com e que não entrará em contato com os usuários por telefone. A recomendação é que todos fiquem atentos a possíveis mensagens suspeitas ou tentativas de phishing.
O vazamento segue uma alta na exposição de dados de usuários de grandes plataformas através de ataques a fornecedores de serviços. Big techs, como Google, vêm sendo vítimas de ataques dessa forma. Há poucos dias, hackers exploraram uma vulnerabilidade no E-Business Suite, da Oracle, para realizar campanhas de extorsão a clientes corporativos.
Em outro caso, revelado em janeiro deste ano, o Discord também foi uma potencial vítima de uma falha na Cloudflare. Descoberta por um pesquisador em cibersegurança, o erro poderia permitir que agentes mal-intencionados identificassem a localização de um usuário.
Com informações do TechSpot
