Uma violação de dados em um provedor terceirizado de atendimento ao cliente expôs os dados pessoais de alguns usuários do Discord, incluindo nomes, endereços de e-mail e um pequeno número de documentos de identidade com foto emitidos pelo governo digitalizados.
O incidente não comprometeu os principais sistemas do Discord, e o acesso não autorizado foi limitado aos dados gerenciados pelas equipes de suporte da empresa.
O Discord anunciou que descobriu recentemente que uma parte não autorizada obteve acesso ao seu sistema de tickets de suporte ao cliente ao comprometer um de seus fornecedores de serviços terceirizados.
A empresa esclareceu que não se tratava de uma violação direta dos servidores do Discord. O objetivo do invasor era, supostamente, extorquir um resgate financeiro da empresa. Assim que o incidente foi detectado, o Discord revogou imediatamente o acesso do provedor comprometido aos seus sistemas para impedir novas atividades não autorizadas.
Desde então, a empresa iniciou uma investigação interna, contratou uma empresa líder em perícia forense de computadores para ajudar e está colaborando com agências de segurança pública.
Os dados expostos na violação pertencem a usuários que interagiram com as equipes de Suporte ao Cliente ou Confiança e Segurança do Discord. As informações comprometidas podem incluir nomes completos, nomes de usuário do Discord, endereços de e-mail e outros detalhes de contato fornecidos durante as interações de suporte. Informações limitadas de cobrança, como tipo de pagamento, histórico de compras e os últimos quatro dígitos do número do cartão de crédito, também foram potencialmente acessadas.
Além disso, a violação incluiu endereços IP de usuários e o conteúdo de mensagens trocadas com agentes de atendimento ao cliente. Um pequeno número de usuários que haviam enviado documentos de identidade com foto emitidos pelo governo, como carteiras de motorista ou passaportes, para fins de verificação de idade, tiveram esses documentos confidenciais expostos.
O Discord garantiu aos usuários que números completos de cartão de crédito, códigos CCV, mensagens privadas da plataforma e senhas de contas não estavam envolvidos neste incidente.
Em resposta ao ataque, o Discord notificou as autoridades de proteção de dados relevantes e está revisando ativamente os controles de segurança de seus provedores terceirizados. A empresa está entrando em contato com todos os usuários afetados diretamente por e-mail.
Essas notificações oficiais serão enviadas do endereço noreply@discord.com . O Discord alertou os usuários de que não entrará em contato com eles por telefone sobre esse assunto e os aconselhou a serem cautelosos com possíveis tentativas de phishing.
