كشفت خدمة Discord عن حادثة أمنية حيث قام طرف غير مصرح له باختراق أحد موفري خدمة العملاء التابعين لجهات خارجية.
ملخص
- تسلط هذه الحادثة الضوء على المخاطر الأمنية المتزايدة التي يشكلها مزودو الخدمات من جهات خارجية، حتى بالنسبة للمنصات الكبرى التي تتمتع بضمانات داخلية قوية.
- وفي حين تظل أنظمة Discord الأساسية غير متأثرة، فإن الكشف عن بيانات المستخدم – بما في ذلك تفاصيل الاتصال ومعلومات الفواتير المحدودة وصور الهوية – يسلط الضوء على كيف أن الثغرات الأمنية المتعلقة بالدعم يمكن أن تؤدي إلى مخاوف خطيرة تتعلق بالخصوصية وتهديدات تصيد محتملة.
تمكن المتسللون من الوصول إلى المعلومات الشخصية للمستخدمين الذين اتصلوا بفرق دعم العملاء أو الثقة والسلامة.
ولم يؤثر الاختراق بشكل مباشر على أنظمة Discord، ولم يتم الوصول إلى أي رسائل أو أنشطة تتجاوز ما ناقشه المستخدمون مع وكلاء الدعم.
وألغت الشركة على الفور وصول مقدم الخدمة المخترق إلى نظام التذاكر الخاص بها وبدأت تحقيقًا مع شركة الطب الشرعي للكمبيوتر وجهات إنفاذ القانون.
يقوم Discord بإخطار المستخدمين المتأثرين عبر البريد الإلكتروني ويحذرهم من أن الاتصالات الرسمية لن تأتي عبر المكالمات الهاتفية.
يشمل نطاق الاختراق معرفات وبيانات الدفع ورسائل الدعم
استهدف الطرف غير المصرح له خدمات دعم العملاء التابعة لجهات خارجية في Discord للوصول إلى بيانات المستخدم بقصد ابتزاز فدية مالية من الشركة.
تتضمن المعلومات المخترقة الأسماء، وأسماء مستخدمي Discord، ورسائل البريد الإلكتروني، وتفاصيل الاتصال المقدمة لدعم العملاء، وعناوين IP.
كما تم الكشف عن معلومات محدودة حول الفواتير، بما في ذلك نوع الدفع، والأرقام الأربعة الأخيرة من بطاقات الائتمان، وسجل الشراء للحسابات المرتبطة بتذاكر الدعم.
كانت الرسائل المتبادلة مع وكلاء خدمة العملاء متاحة للمهاجمين، إلى جانب بيانات محدودة للشركة مثل مواد التدريب والعروض التقديمية الداخلية.
ربما تم الوصول إلى عدد قليل من صور الهوية الصادرة عن جهات حكومية للمستخدمين الذين طعنوا في قرارات تحديد العمر، بما في ذلك رخص القيادة وجوازات السفر. يُحدد Discord في رسائل البريد الإلكتروني الفردية ما إذا كانت هوية المستخدم قد تعرضت للاختراق.
ولم تتضمن عملية الاختراق أرقام بطاقات الائتمان الكاملة، ورموز CCV، وكلمات المرور، وبيانات المصادقة.
ظلت الرسائل أو الأنشطة على Discord خارج نطاق تفاعلات دعم العملاء آمنة ولم يتمكن الطرف غير المصرح له من الوصول إليها.
ديسكورد يخطر السلطات
أخطرت Discord سلطات حماية البيانات ذات الصلة وتواصلت بشكل استباقي مع جهات إنفاذ القانون للتحقيق في الهجوم.
وتقوم الشركة بمراجعة أنظمة الكشف عن التهديدات وضوابط الأمان الخاصة بمقدمي الدعم من جهات خارجية لمنع وقوع حوادث مماثلة.
وتخطط المنصة لمواصلة عمليات التدقيق المتكررة لأنظمة الطرف الثالث للتأكد من أنها تلبي معايير الأمان والخصوصية.
توصي الشركة المستخدمين المتأثرين بالبقاء في حالة تأهب للرسائل أو الاتصالات المشبوهة التي قد تمثل محاولات تصيد تستغل المعلومات المخترقة.
يجب على المستخدمين التأكد من أن أي اتصالات Discord تأتي من قنوات رسمية وتجنب النقر فوق الروابط في الرسائل غير المتوقعة.
