Datalek bij Discord: identiteitsdocumenten gelekt via externe helpdesk
Niet het platform zelf werd gehackt, maar een externe klantendienstpartner. De aanval vond plaats op 20 september, maar kwam pas begin oktober aan het licht. Volgens beveiligingsonderzoekers richtten de aanvallers zich op Zendesk, de helpdesksoftware die Discord gebruikt voor zijn klantenservice. Daardoor konden ze data stelen van gebruikers die contact hadden met de klantendienst of het trust & safety-team. Het gaat om namen, e-mailadressen, IP-adressen, berichtgeschiedenis en in sommige gevallen ook gedeeltelijke betalingsinformatie.
Meer zorgwekkend is dat ook identiteitsdocumenten werden buitgemaakt zoals rijbewijzen en paspoorten van gebruikers die hun leeftijdsverificatie hadden aangevochten. Discord benadrukt dat het om een beperkt aantal gevallen gaat. Gebruikers van wie de ID mogelijk is ingezien, ontvangen daarover een e-mail.
De hackers probeerden losgeld te eisen in een zogenaamde ransomware-aanval. De groep zou zichzelf “Scattered Lapsu$ Hunters (SLH)” noemen. Deze groep is al eerder gelinkt aan andere aanvallen op o.a. de Engelse supermarktketen Marks & Spencer en het automerk Jaguar.
Discord heeft intussen de toegang van Zendesk ingetrokken, een intern onderzoek opgestart en de politie ingeschakeld. Het bedrijf waarschuwt gebruikers om alert te blijven voor phishingmails en herinnert eraan dat officiële communicatie enkel komt van noreply@discord.com.
Groeiende zorgen over leeftijdsverificatie
Het incident komt slechts een half jaar nadat Discord begon met leeftijdsverificatie in verschillende regio’s. In het Verenigd Koninkrijk werd dat verplicht door de Online Safety Act, en ook in sommige Amerikaanse staten gelden ondertussen soortgelijke regels. Die wetgeving moet minderjarigen beschermen, maar zorgt tegelijk voor bezorgdheid over privacy.
Gebruikers wezen er al eerder op dat het uploaden van gevoelige gegevens, zoals een foto van een identiteitsbewijs, risico’s met zich meebrengt, zeker wanneer zulke data bij externe partijen belandt. Het heeft dus niet lang geduurd voordat die zorgen werkelijkheid werden. Het beleid is bedoeld om gebruikers te beschermen, maar het vergroot tegelijk het risico op misbruik van persoonlijke informatie.
Met meer dan 200 miljoen maandelijkse gebruikers is Discord uitgegroeid tot een van de grootste sociale platforms ter wereld en dus ook een interessant doelwit voor cybercriminelen.
