Хакеры угрожают утечкой 2.1 млн паспортов пользователей, лицензий на вымогательство
Поддержка Zendesk была нарушена, разоблачая 2185 151 фотографию возрастной проверки, привязанную к паспортам и водительским удостоверениям 2,1 миллиона пользователей, и злоумышленники теперь вымогают Discord, чтобы остановить более широкую утечку.
Хакеры украли более двух миллионов правительственных идентификационных фотографий из системы поддержки Discord и теперь угрожают утечкой их, если компания не заплатит выкуп.
Взлом, произошедший 20 сентября, был связан с платформой обслуживания клиентов Discord Zendesk, используемой компанией для обработки запросов о поддержке пользователей и безопасности.
2.1M фотографии паспортов и лицензий, утечка которых произошла в результате взлома поставщика
По данным исследовательской группы VX-Underground, злоумышленники, по их словам, извлекли 1,5 терабайта данных, в том числе около 2 185 151 изображения, привязанные к возрастным обращениям.
Эти изображения состоят из паспортов и водительских прав, предоставленных пользователями Discord, пытающимися проверить свой возраст после того, как они были помечены автоматизированной системой модерации платформы.
В обновлении, опубликованном в своем блоге 3 октября, Discord подтвердила, что «несанкционированная сторона» получила доступ к своей сторонней инстанции Zendesk. Компания заявила, что инцидент затронул «ограниченное количество пользователей», которые связались с ее службами поддержки клиентов или Trust & Safety.
Discord подчеркнула, что ее собственные серверы не были взломаны, а пароли пользователей, личные сообщения или данные аутентификации не были раскрыты.
Однако претензии злоумышленников выходят далеко за рамки первоначального описания Discord ограниченного инцидента. VX-Underground поделились скриншотами образцов ID-изображений, якобы взятых из взлома, заявив, что Discord вымогали за украденные данные.
По сообщениям, в просочившиеся файлы включены фотографии паспортов, водительских прав и других документов, удостоверяющих личность, используемых для проверки. Разногласия не подтвердили подлинность просочившихся образцов, но признали, что некоторые фотографии с удостоверениями личности были среди полученных данных.
В то время как официальное раскрытие информации Discord было направлено на минимизацию масштаба инцидента, VX-Underground и другие наблюдатели по кибербезопасности представили другую картину, утверждая, что у злоумышленников есть более 2,1 миллиона фотографий проверки пользователей.
Группа также опубликовала образцы украденных документов, чтобы обосновать свои претензии, и подтвердила, что Discord вымогается, чтобы предотвратить публичное освобождение.
Хотя Discord уточнила, что полные номера кредитных карт, коды CCV и личные сообщения не были раскрыты, эксперты предупреждают, что украденные данные все еще могут использоваться для фишинга, кражи личных данных или атак социальной инженерии.
Утечка вновь вызвала обеспокоенность по поводу того, как цифровые платформы обрабатывают данные проверки личности. Пользователи Discord выразили разочарование в Интернете, отметив, что ранее заявленная компания информация о проверке возраста будет удалена сразу после подтверждения.
Критики говорят, что хранение документов, связанных с апелляцией, создало ненужный риск конфиденциальности, поскольку эти изображения хранились на внешних серверах.
Discord Hack вызвала дебаты в Великобритании по поводу цифровых ID-планов
Аналитики безопасности говорят, что нарушение подчеркивает повторяющийся недостаток в практике обработки данных: даже когда компании передают на аутсорсинг такие функции, как поддержка клиентов, конфиденциальная информация может оставаться открытой, если поставщики не придерживаются тех же стандартов безопасности.
В этом случае злоумышленники, по-видимому, нацелились на среду Zendesk компании Discord напрямую, а не на ее основную инфраструктуру, воспользовавшись привилегиями доступа внешней системы.
Последствия инцидента также перетекли в более широкие политические дискуссии в Соединенном Королевстве, где новости вызвали общественное противодействие запланированной правительством национальной программе Digital ID.
Больше в бизнесе
После сообщений о взломе Discord петиция, выступающая против инициативы, превысила 2,8 миллиона подписей, а критики назвали нарушение доказательством опасности централизованных цифровых систем идентификации, которые хранят большие объемы конфиденциальных данных.
Атака Discord следует за серией подобных вторжений, нацеленных на сторонних поставщиков услуг в технологической отрасли. Zendesk, который предоставляет программное обеспечение helpdesk для многочисленных фирм, использовался в качестве бэкдора в нескольких прошлых атаках.
Discord заявила, что в настоящее время проверяет все внешние поставщики и проверяет разрешения на доступ для предотвращения будущих инцидентов.
По состоянию на эту неделю вымогатели не раскрыли сумму выкупа или срок оплаты.По сообщениям правоохранительных органов США и Европы, расследуются дела, но подлинность полного набора данных хакеров еще предстоит проверить самостоятельно.
В прошлом году Privado ID, побочный продукт Polygon Labs, представил веб-кошелек, который позволяет пользователям проверять свой возраст и личность с помощью доказательств с нулевым разглашением, криптографический метод, который подтверждает личные данные, не раскрывая базовые данные.
Технология была расхвалина как альтернатива традиционным загрузкам документов, таким как те, которые используются в процессе проверки возраста Discord.
Хакеры угрожают утечкой 2,1 млн паспортов пользователей, лицензий на вымогательство Хасана Шитту на Cryptonews.com
