Discord tem IDs de usuários vazados por falha em serviço terceirizado

O Discord confirmou que um provedor de serviço de terceiros, utilizado para o Suporte ao Cliente e Confiança e Segurança (Trust & Safety), sofreu uma invasão por uma "unauthorised party". A falha de segurança expôs os riscos de terceirização, especialmente para informações necessárias para conformidade com leis como a Online Safety Act.

O ponto mais crítico da violação é o comprometimento de dados altamente sensíveis. A Discord relatou que um "small number of government-ID images" (como carteiras de motorista e passaportes) foi obtido. Estes documentos pertenciam a usuários que haviam apelado de uma determinação de idade. A empresa notificou os usuários na Last Friday sobre a obtenção de "informação de um número limitado de usuários".

A lista completa dos dados violados inclui:

• Name, Discord username, email e outros contact details (se fornecidos ao suporte ao cliente Discord)
• Payment type, last four digits of credit cards, e purchase history (se associado a uma conta)
• IP addresses
• Messages com customer service agents
• Limited corporate data (training materials, internal presentations)
• A small number of government‑ID images (e.g., driver’s license, passport) de usuários que apelaram de uma age determination
   

Apesar da falha de terceirização, a Discord agiu de forma rápida para mitigar o dano e confirmou que a violação não incluiu passwords ou authentication data, números completos de cartão de crédito ou código CCV, nem mensagens e atividade no Discord "além de discussões com o suporte ao cliente".

A empresa detalhou sua resposta imediata:

"Assim que tomamos conhecimento deste ataque, tomamos medidas imediatas para resolver a situação. Isso incluiu revogar o acesso do provedor de suporte ao cliente ao nosso sistema de ticketing, lançar uma investigação interna, contratar uma empresa líder em forense computacional para apoiar nossos esforços de investigação e remediação, e envolver a aplicação da lei."

Os usuários impactados pela violação de dados receberão um email de [email protected]. Aqueles cuja ID foi acessada serão notificados especificamente no email. O Discord não entrará em contato com os usuários afetados por telefone.

A violação de dados da Discord, originada em um provedor de serviço de terceiros, comprometeu o nome, e-mail, IP addresses e um "small number of government-ID images" de usuários que contataram o suporte. A resposta da Discord incluiu o envolvimento da lei e a revogação do acesso do terceirizado, mas falhou em impedir que documentos de identificação governamental fossem acessados na Last Friday.