Hakimi i madh në Discord zbulon rreziqet reale të identitetit digjital

Dhjetëra mijëra përdorues të Discord mund të kenë parë të dhënat e tyre të identifikimit të hakohen. Kjo nuk është një shenjë e mirë për shtytjen e ID-së Dixhitale në Mbretërinë e Bashkuar.

Shkelja e të dhënave të përdoruesve të Discord ofron një argument tjetër kundër planeve autoritare të qeverisë së Mbretërisë së Bashkuar për ID-në Dixhitale. Një qeveri e arsyeshme do të merrte në konsideratë pasojat përpara se t’i detyronte njerëzit të rrezikonin informacionin me një marifet si ky.

Pra, çfarë ndodhi?

Spekulimet online janë se miliona të dhëna të dokumenteve të identifikimit qeveritar mund të jenë vjedhur në një sulm kundër një shërbimi të verifikimit të identitetit të përdorur nga Discord. Discord thotë se ka “identifikuar afërsisht 70,000 përdorues që mund të kenë pasur foto të dokumenteve të identifikimit qeveritar të ekspozuara, të cilat shitësi ynë i përdori për të shqyrtuar ankesat në lidhje me moshën”.

Gjithashtu tha se po komunikon me përdoruesit e prekur nga sulmi kibernetik dhe po punon me forcat e ligjit për të hetuar çështjen.

“Kohët e fundit, zbuluam një incident ku një palë e paautorizuar kompromentoi një nga ofruesit e shërbimit ndaj klientit të palës së tretë të Discord. Pala e paautorizuar më pas fitoi akses në informacion nga një numër i kufizuar përdoruesish që kishin kontaktuar Discord përmes ekipeve tona të Ndihmës për Klientët dhe/ose Besimit dhe Sigurisë”, tha kompania në një deklaratë.

Informacioni i rrjedhur përfshinte:

Emri, emri i përdoruesit, emaili dhe të dhënat e tjera të kontaktit të Discord të dhëna për mbështetjen e klientëve të Discord.
Lloji i pagesës, katër shifrat e fundit të kartave të kreditit dhe historiku i blerjeve nëse është i lidhur me një llogari.
Adresat IP.
Mesazhet e agjentit të shërbimit ndaj klientit.
Të dhëna të kufizuara të korporatës (materiale trajnimi, prezantime të brendshme).
Një numër i vogël imazhesh të dokumenteve të identifikimit qeveritar (p.sh., patenta drejtimi ose pasaporta) nga përdoruesit që kishin apeluar një përcaktim moshe.
Të dhënat nuk përfshinin fjalëkalime, të dhëna autentifikimi, numra të plotë të kartave të kreditit, kode CCV ose mesazhe të ndara në Discord, përtej atyre me mbështetjen e klientëve.

Ndërkohë që mendoj se fraza “një numër i vogël” mund të bëjë shumë punë këtu, sulmi është plotësisht i parashikueshëm. Duket e pashmangshme që, sapo qeveritë – si administrata aktuale e Mbretërisë së Bashkuar – t’i detyrojnë përdoruesit të ndajnë të dhëna sigurie të nivelit të lartë thjesht për të përdorur mediat sociale, shërbimet e parregulluara që verifikojnë ato dokumente identifikimi do të bëhen objektiva tërheqëse për sulme.

Kjo është pikërisht ajo që ndodhi në Discord. Ajo kompani iu drejtua një pale të tretë për të trajtuar pyetje të këtij lloji, ajo palë e tretë u hakua dhe u vodhën të dhëna të vlefshme. Ky nuk është as sulmi i parë i tillë. Një vit më parë, një sulm kundër shërbimit amerikan të verifikimit të identitetit AU10TIX ekspozoi emra, data lindjeje, kombësi, numra identifikimi, llojin e dokumenteve të ngarkuara (siç është patenta e shoferit) dhe imazhe të këtyre dokumenteve.

Është krejtësisht antiintuitive të pritet që Discord do të jetë i vetmi partner i verifikimit të identitetit që do të përballet me sulme, dhe është e kotë të besohet për asnjë sekondë se ky do të jetë i vetmi partner i tillë që do t’i nënshtrohet këtyre sulmeve. Fakti që kompanitë e ofrimit të identitetit i nënshtrohen vetëm rregulloreve të lehta e bën këtë një kërcënim masiv për sigurinë dixhitale – veçanërisht duke pasur parasysh lidhjet e mundshme midis tyre dhe agjencive të huaja të inteligjencës.

Kjo është një sfidë e madhe për përdoruesit e Mbretërisë së Bashkuar, të cilët së fundmi janë detyruar të ndajnë informacione të tilla me shërbimet e mediave sociale në përgjigje të të ashtuquajturit Akt i Sigurisë Online të Mbretërisë së Bashkuar (një legjislacion që na lë të gjithëve më pak të sigurt se më parë ). Kushdo në Mbretërinë e Bashkuar që ka ndarë këtë informacion me shërbimin e verifikimit të identitetit të Discord në përgjigje të atij Akti është lënë i ekspozuar nga paaftësia e qeverisë. Nuk është sikur ekspertët e privatësisë dhe sigurisë online nuk paralajmëruan për pasojat e mundshme, por qeveria zgjodhi të mos dëgjonte, duke preferuar të ruante varësinë e saj nga mbikëqyrja shtetërore.

Çdo shtetas në Mbretërinë e Bashkuar që gjen se informacioni i tij personal është kompromentuar si rezultat i ndarjes së dokumenteve të identifikimit — vetëm për të vazhduar të vizitojë komunitetin e tij të preferuar të lojërave online në Discord — ka vetëm një entitet për të fajësuar, dhe ky nuk është Discord. Është qeveria e Mbretërisë së Bashkuar.

Kjo absolutisht nuk do të jetë vjedhja e fundit e madhe për këtë lloj të dhënash përdoruesish. Përveç mashtrimit financiar, kriminelët dinë gjithashtu si të përdorin të dhënat legjitime të pasaportave për të krijuar dokumente identifikimi të falsifikuara. Dhe rezultati neto i sulmeve të tilla do të jetë ekspozimi i thellë ndaj sigurisë për qytetarët e Mbretërisë së Bashkuar dhe një flotë e tërë dokumentacioni të falsifikuar që do të ndahet midis grupeve kriminale, shteteve kombëtare armiqësore dhe refugjatëve që kërkojnë siguri.

Në të vërtetë, larg nga ta bëjë botën online ose fizike më të sigurt, paaftësia e Mbretërisë së Bashkuar në fakt ka krijuar një sasi të madhe pasigurie, ndikimin e së cilës ende nuk e kemi ndjerë. Ndërsa më shumë shërbime të tilla hakohen, do të shkaktohen më shumë dëme.

Meqenëse Mbretëria e Bashkuar është e përkushtuar për të imponuar ID dixhitale mbi një komb që nuk është i gatshëm ta bëjë këtë, ka shumë mundësi që ajo të bëhet shënjestër. Kjo do të kishte më pak rëndësi nëse siguria online mund të garantohej, por nuk mundet. Dhe këto ditë, çdo biznes që bën biznes dixhital ka përvetësuar një qasje ” kur ” dhe jo ” nëse” ndaj sigurisë.

Me fjalë të tjera, ata e dinë se një ditë do të sulmohen ose do të hakohen dhe do të kenë plane të përgatitura se çfarë të bëjnë kur kjo të ndodhë. Eksperimenti i identifikimit në Mbretërinë e Bashkuar mund t’i qaset sigurisë në një mënyrë të ngjashme, por është e sigurt se do të sulmohet, disa sulme do të kenë sukses dhe të dhënat e vjedhura në ato sulme do të keqpërdoren.

Fatkeqësia e Discord është një paralajmërim për atë që do të ndodhë. Sigurisht që është një tregues se përpara se njerëzit të detyrohen të përdorin shërbime verifikimi nga palë të treta, duhet të jetë në vend një sërë standardesh rregullatore dhe një aparat ligjor për kompensim bujar nëse një përdorues preket.

Aktualisht, kjo nuk ekziston, që do të thotë se këto sisteme na lënë më të ekspozuar ndaj mashtrimeve dhe dëmeve të tjera online sesa ishim më parë.