Сервис Discord подтвердил утечку персональных данных пользователей в результате кибератаки на внешнего подрядчика, отвечающего за техническую поддержку. Злоумышленники получили доступ не к самим серверам Discord, а к системе сторонней компании, которая обрабатывала обращения пользователей.
Среди скомпрометированных сведений имена, никнеймы, адреса электронной почты, IP-адреса, переписка с поддержкой и частичная платежная информация, включая последние четыре цифры банковских карт. Особенно тревожит то, что хакеры завладели сканами удостоверений личности паспортов и водительских прав которые пользователи отправляли для подтверждения возраста при оспаривании ограничений.
Discord заявляет, что пароли, CVV-коды и личные сообщения в чатах не пострадали. По официальным данным, утечка затронула около 70 000 аккаунтов по всему миру. Однако злоумышленники утверждают, что похитили данные 5,5 миллиона пользователей и 1,6 терабайта информации, включая более 500 000 заявок на проверку возраста.
Компания уже отозвала доступ у подрядчика, уведомила регуляторов и начала сотрудничество с правоохранительными органами. Пострадавшим пользователям отправляют персональные уведомления и рекомендуют быть особенно внимательными к подозрительным сообщениям.
Хакеры требовали выкуп в размере 3,5 миллиона долларов (примерно 320 миллионов рублей по текущему курсу), но Discord отказался платить и назвал цифры злоумышленников завышенными. Сейчас украденные данные могут быть выложены в открытый доступ это ставит под угрозу конфиденциальность тысяч людей.
Инцидент вновь поднимает тревожный вопрос: даже самые защищенные платформы уязвимы через своих партнеров. Пользователям остается только надеяться, что компании начнут тщательнее проверять всех, кто имеет доступ к их данным.