Удостоверения личности миллионов пользователей Discord оказались в руках хакеров

 Заблокированная в России платформа для общения, особенно среди геймеров, Discord, пережила масштабную утечку информации, в результате которой были скомпрометированы крайне чувствительные данные пользователей — их удостоверения личности, загруженные для верификации возраста.

Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений «Газинформсервис», отметил: «Популярный мессенджер и де-факто стандарт общения для геймеров Discord был атакован хакерами, что привело к утечке персональных данных. Сам по себе мессенджер заблокирован в РФ ещё в прошлом году "для предотвращения использования мессенджера в террористических и экстремистских целях, вербовки граждан для их совершения, продажи наркотиков, в связи с размещением противоправной информации". Однако многие до сих пор продолжают им пользоваться, поэтому ситуация могла затронуть и наших граждан».

Этот инцидент, произошедший, как сообщается, в результате атаки на стороннего подрядчика. Хакеры получили доступ к системе, хранящей копии документов, таких как водительские права, ID-карты и студенческие билеты, которые пользователи предоставляли для подтверждения своего возраста.

Эксперт обращает внимание: «С Discord случались классическая атак на цепочку поставки. Взломали даже не сам сервис, а стороннего подрядчика, который решал для Discord прикладные задачи. Но самое пикантное в это ситуации, что с какого-то времени для верификации возраста пользователей им нужно было загрузить в сервис копию своего удостоверения личности — в зависимости от страны это могут права, удостоверение личности или студенческий билет. Так вот именно эти данные и утекли».

Такие базовые идентификационные данные могут быть использованы злоумышленниками в самых разных целях, от открытия счетов до выдачи себя за другого человека.

«Эта история опять напоминает нам о правиле — не нужно делиться со сторонними сервисами избыточной информацией. Всё, что сервис знает о вас, однажды станет достоянием общественности, и это нужно всегда помнить», — заключает Сергей Полунин.

Ещё больше о кибербезопасности можно узнать из трансляции форума по информационной безопасности GIS DAYS (Global Information Security Days*) — мероприятия, которое ежегодно объединяет экспертов, бизнес, регуляторов, интеграторов на одной площадке.

 Global Information Security Days* — дни глобальной информационной безопасности