Discord tiene IDs de usuarios filtrados debido a una falla en un servicio de terceros

El Discord confirmó que un proveedor de servicios de terceros, utilizado para el Soporte al Cliente y la Confianza y Seguridad (Trust & Safety), sufrió una invasión por una "parte no autorizada". La falla de seguridad expuso los riesgos de la tercerización, especialmente para información necesaria para la conformidad con leyes como la Ley de Seguridad en Línea.

El punto más crítico de la violación es la compromiso de datos altamente sensibles. El Discord reportó que un "pequeño número de imágenes de identificación gubernamental" (como licencias de conducir y pasaportes) fueron obtenidas. Estos documentos pertenecían a usuarios que habían apelado a una determinación de edad. La empresa notificó a los usuarios el último viernes sobre la obtención de "información de un número limitado de usuarios".

La lista completa de los datos violados incluye:

• Nombre, nombre de usuario de Discord, correo electrónico y otros detalles de contacto (si se proporcionaron al soporte al cliente de Discord)
• Tipo de pago, últimos cuatro dígitos de tarjetas de crédito, e historial de compras (si está asociado a una cuenta)
• Direcciones IP
• Mensajes con agentes de servicio al cliente
• Datos corporativos limitados (materiales de capacitación, presentaciones internas)
• Un pequeño número de imágenes de identificación gubernamental (por ejemplo, licencia de conducir, pasaporte) de usuarios que apelaron a una determinación de edad
   

A pesar de la falla de tercerización, el Discord actuó rápidamente para mitigar el daño y confirmó que la violación no incluyó contraseñas o datos de autenticación, números de tarjetas de crédito completos o código CCV, ni mensajes y actividad en el Discord "además de discusiones con el soporte al cliente".

La empresa detalló su respuesta inmediata:

"Tan pronto como tuvimos conocimiento de este ataque, tomamos medidas inmediatas para resolver la situación. Esto incluyó revocar el acceso del proveedor de soporte al cliente a nuestro sistema de ticketing, lanzar una investigación interna, contratar una empresa líder en forense computacional para apoyar nuestros esfuerzos de investigación y remediación, y involucrar a la aplicación de la ley."

Los usuarios impactados por la violación de datos recibirán un correo electrónico de [email protected]. Aquellos cuya ID fue accedida serán notificados específicamente en el correo electrónico. El Discord no se pondrá en contacto con los usuarios afectados por teléfono.

La violación de datos de Discord, originada en un proveedor de servicios de terceros, comprometió el nombre, correo electrónico, direcciones IP y un "pequeño número de imágenes de identificación gubernamental" de usuarios que contactaron el soporte. La respuesta de Discord incluyó la participación de la ley y la revocación del acceso del tercerizado, pero no logró evitar que documentos de identificación gubernamental fueran accedidos el último viernes.