Discord zbulon një shkelje të të dhënave pasi hakerët vodhën biletat e mbështetjes
Hakerët vodhën informacione të pjesshme për pagesat dhe të dhëna personale të identifikueshme, duke përfshirë emra dhe dokumente identifikimi të lëshuara nga qeveria, nga disa përdorues të Discord, pasi kompromentuan një ofrues të shërbimit ndaj klientit të palës së tretë.
Sulmi ndodhi më 20 shtator dhe preku “një numër të kufizuar përdoruesish” që ndërvepruan me mbështetjen e klientëve të Discord dhe/ose ekipet e Besimit dhe Sigurisë.
Discord u krijua si një platformë komunikimi për lojtarët, të cilët përfaqësojnë më shumë se 90% të bazës së përdoruesve, por u zgjerua në komunitete të ndryshme të tjera, duke lejuar mesazhe me tekst, biseda zanore dhe thirrje video.
Sipas statistikave të platformës, më shumë se 200 milionë njerëz përdorin Discord çdo muaj.
Në njoftimin drejtuar përdoruesve të prekur, kompania e mesazheve thotë se sulmi ndodhi më 20 shtator dhe “një palë e paautorizuar fitoi akses të kufizuar në një sistem shërbimi ndaj klientit të një pale të tretë të përdorur nga Discord”.
Të premten, Discord e zbuloi incidentin publikisht, duke thënë se ndërmori veprime të menjëhershme për të izoluar ofruesin e mbështetjes nga sistemi i tij i biletave dhe filloi një hetim.
Kjo përfshinte heqjen e aksesit të ofruesit të mbështetjes së klientëve në sistemin tonë të biletave, nisjen e një hetimi të brendshëm, angazhimin e një firme kryesore të forenzikës kompjuterike për të mbështetur përpjekjet tona të hetimit dhe korrigjimit, si dhe angazhimin e zbatimit të ligjit – Discord
Sulmi duket se është i motivuar financiarisht, pasi hakerat kërkuan një shpërblim nga Discord në këmbim të moszbulimit të informacionit të vjedhur.
Të dhënat e ekspozuara përfshijnë informacione identifikuese personale, të tilla si emrat dhe emrat e përdoruesit të vërtetë, adresat e email-it dhe detaje të tjera kontakti të dhëna ekipit të mbështetjes.
Shërbimi i komunikimit social thotë se adresat IP, mesazhet dhe bashkëngjitjet e dërguara agjentëve të shërbimit ndaj klientit u kompromentuan gjithashtu.
Hakerët gjithashtu arritën të aksesonin fotot e dokumenteve të identifikimit të lëshuara nga qeveria (patentë shoferi, pasaportë) për një numër të vogël përdoruesish.
Informacion i pjesshëm i faturimit, si lloji i pagesës, katër shifrat e fundit të kartës së kreditit dhe historiku i blerjeve të lidhura me llogarinë e kompromentuar, u ekspozuan gjithashtu.
Grupi i sigurisë VX-Underground vëren se lloji i të dhënave të vjedhura nga përdoruesit e Discord përfaqëson “fjalë për fjalë identitetin e plotë të njerëzve”.
Alon Gal, Drejtor i Teknologjisë në kompaninë e inteligjencës së kërcënimeve Hudson Rock, beson se nëse hakerat publikojnë të dhënat e Discord, kjo mund të ofrojë informacione të rëndësishme për të ndihmuar në zbulimin ose zgjidhjen e sulmeve dhe mashtrimeve të kriptovalutave.
“Do të them vetëm se nëse rrjedh, kjo bazë të dhënash do të jetë shumë e rëndësishme për zgjidhjen e sulmeve kibernetike dhe mashtrimeve që lidhen me kriptovalutat, sepse mashtruesit nuk e mbajnë mend shpesh përdorimin e një email-i dhe VPN-je dhe pothuajse të gjithë janë në Discord”, thotë Alon Gal, Drejtor i Teknologjisë në Hudson Rock.
Aktualisht, është e paqartë se sa përdorues të Discord janë prekur, dhe emri i ofruesit të palës së tretë ose vektori i aksesit nuk është zbuluar publikisht.
Megjithatë, grupi kërcënues Scattered Lapsus$ Hunters (SLH) mori përsipër sulmin duke thënë se ata shkelën një instancë Zendesk të përdorur nga Discord për mbështetje të klientëve.
Një imazh që hakerët postuan në internet tregon një listë kontrolli të aksesit të Kolide për punonjësit e Discord me akses në konsolën e administratorit. Kolide është një zgjidhje besimi për pajisjet që lidhet me shërbimin Okta të bazuar në cloud Identity and Access Management (IAM) për autentifikim shumëfaktorësh.
SLH konfirmoi për BleepingComputer se ishte një shkelje e Zendesk që i lejoi ata të vidhnin të dhënat e përdoruesve të Discord.
BleepingComputer kontaktoi Discord me një kërkesë për më shumë detaje rreth sulmit, por një koment nga platforma e komunikimit social nuk ishte menjëherë i disponueshëm.
Vlen të përmendet se qindra kompani patën instancat e tyre të Salesforce të kompromentuara pasi grupi i shantazhit ShinyHunters u qas atyre duke përdorur tokenët e vjedhur të Salesloft Drift OAuth.
Muajin e kaluar, hakerat pretenduan se kishin vjedhur më shumë se 1.5 miliardë të dhëna të Salesforce nga 760 kompani.
Kohët e fundit, ShinyHunters lançoi një faqe interneti për rrjedhje të dhënash që rendiste më shumë se tre duzina viktimash.