一项研究表明,大约 70,000 名 Discord 用户的政府身份证件图像可能被盗。 更新 公司的。上周,这个流行的聊天平台通知用户,该平台用于客户服务的第三方提供商遭到黑客攻击,影响了与该应用程序的客户服务或信任和安全团队互动的 Discord 用户。
Discord 上周最初宣布,一个未经授权的组织获得了“少量”政府身份证图像。这包括驾驶执照、护照等敏感文件的图像,甚至可能包括拥有这些文件的人的自拍照,这是验证在线帐户身份的常用方法。
周三,该公司更新了博文,估计受影响的用户数量为 70,000 人。虽然这只是该聊天应用每月 2 亿用户的一小部分,但仍然有很大一部分人现在有充分的理由担心身份盗窃。
除了政府 ID 图像之外,黑客还可能获得了 Discord 用户的姓名、用户名、电子邮件、联系信息、与帐户关联的信用卡的最后四位数字、IP 地址以及与客户服务代理的消息。 Discord 强调,完整的信用卡号码和 CCV 代码没有被泄露,Discord 上的任何密码或消息也没有受到第三方客户支持提供商之外的影响。
“我们一得知这次攻击,就立即采取行动解决这一问题,”Discord 在最近更新的博客文章中表示。 “这包括撤销客户支持提供商对我们票务系统的访问权限、启动内部调查、聘请一家领先的计算机取证公司来支持我们的调查和补救工作,以及与执法部门合作。”
Discord 透露,该黑客组织明显窃取了这些文件,目的是“勒索赎金”。
年龄验证有其自身的风险
Discord 强调,这并不是对其自己的系统和服务器的破坏,而是设法损害了该公司使用的第三方提供商。这种区别很重要:Discord 为其数亿每月活跃用户托管了大量聊天日志和私人对话。
这次黑客攻击仍然是一个非常坏的消息,特别是考虑到被盗图像的性质:人们依赖这些图像来建立网络帐户的合法性。尽管如此,Discord 用户应该知道服务器日志和私人聊天并不是这次黑客攻击的一部分。 Discord 表示,它正在通过来自noreply@discord.com 的电子邮件联系受 ID 泄露影响的用户。
Discord 没有在其公开声明中提及供应商的名字,但它签署并 初步报告 它似乎指向 Zendesk,该公司负责该平台的客户支持。在一份声明中 快公司Zendesk 表示,其调查“表明该事件并非由 Zendesk 平台内的漏洞引起”,并且其自己的系统“没有受到损害”。 Discord 还使用年龄验证提供商 k-ID 进行自动面部年龄估计和身份证件验证,尽管该公司 州 两家公司都没有永久存储用户上传以验证年龄的身份证明文件或自拍视频。
此次黑客攻击是公司在收集用户敏感个人数据时所面临风险的最新例子。随着年龄验证法的普及,Discord 等公司越来越多地要求用户上传护照和驾驶执照,以证明自己是成年人。
7 月,Discord 宣布将进行修改以遵守英国颁布的新法律。 网络安全法。该法律要求平台通过设置年龄障碍来保护年轻人免受色情内容和宣扬自残、饮食失调或自杀的内容的侵害。虽然《在线安全法》和类似的美国各州年龄验证法可能有着崇高的目标,但它们之间存在冲突 畏缩 来自担心其有效性的批评者, 隐私影响以及让政府决定人们可以在网上看到什么的更广泛的风险。
Fast Company 最具创新公司奖的延长截止日期为太平洋时间 10 月 10 日星期五晚上 11:59。今天申请。
