據The Verge報道,Discord宣布其一家第三方客戶支持合作夥伴近期遭到「未授權方」入侵,Discord稱該未授權方試圖「索要經濟贖金」。
儘管黑客並未直接獲取Discord的訪問權限,但部分用戶的數據仍因此次入侵受到影響——具體為用戶與Discord客戶支持團隊及信任與安全團隊共享的數據,包括為年齡驗證而提交的政府身份證件。
Discord在一份新聞稿中表示,所有受此次入侵影響的用戶很快將收到郵件通知。可能面臨風險的數據類型包括姓名、Discord用戶名、電子郵箱地址、聯繫方式、支付方式、信用卡號的後四位(而非信用卡驗證碼或完整信用卡號)、購買記錄、IP位址、與客戶支持溝通的消息記錄,以及「有限的企業數據」。
此次入侵中最令人擔憂的數據,是少量為年齡驗證目的提交給Discord的政府身份證件圖像,例如護照或駕照。Discord補充稱:「若你的身份證件可能已被獲取,相關資訊將在你收到的郵件中註明。」值得注意的是,此次入侵未導緻密碼、認證數據,或「超出用戶與客戶支持溝通範圍的消息記錄」泄露。Discord同時表示,已撤銷受影響客戶支持合作夥伴對其系統的訪問權限。
若你近期未向Discord客戶支持團隊共享過資訊,那麼你大概率不會受此次入侵影響。但如果你認為自己的數據可能已泄露,請留意來自Discord的郵件。若你的身份證件涉及此次泄露,建議查閱美國國稅局(IRS)或英國國家網路安全中心(NCSC)發布的身份盜用及數據泄露應對指南。
此次數據泄露發生在Discord開始在部分地區要求年齡驗證的六個月後。英國《在線安全法》已將此類年齡驗證納入法律要求,不過用戶很快找到了規避方法,包括使用《死亡擱淺》(Death Stranding)中的拍照模式。美國部分州也已通過類似的年齡驗證法律。
Discord此次數據泄露充分說明,為何全球民眾會對這類政策感到擔憂與不滿——除了審查相關問題外,將政府身份證件這類敏感數據的掃描件和照片提供給可能缺乏足夠安全措施保護這些數據的公司,本身就存在明顯風險。
