Discord爆用戶個資大量外洩! 官方證實:駭客竊取身分證、地址
全球擁有超過2億活躍用戶的即時通訊平台Discord日前證實,遭遇嚴重資安事件,導致約7萬名用戶的政府核發身分證明文件(如護照、駕照)照片遭到外洩,部分用戶的姓名、電子信箱、IP位址與交易紀錄等敏感資料也可能遭到駭客存取。
綜合外媒報導,據Discord發言人說明,此次受影響用戶數約為70,000人,駭客取得的資料類型包括姓名、使用者名稱、電子信箱、IP 位址與部分客訴對話紀錄;而在金流方面,僅涉及信用卡末四碼及付款歷史等「有限的財務資訊」,平台強調用戶密碼及完整的付款資料未遭外洩。
Discord 表示,有駭客組織在駭入系統後試圖勒索金錢,並散布誇大的數據(聲稱竊得超過200萬筆資料)以施壓。但平台明確拒絕付款,並指出該數字不實,是駭客試圖操控輿論的一部分。
而有一個自稱為「Scattered Lapsus$ Hunters(SLH)」的駭客組織對此事件宣稱負責,並指入侵手法為滲透Discord所採用的客服系統 Zendesk。
報導指出,在駭客建立的Telegram頻道中,有用戶已經上傳上百張用戶手持身分證明文件的照片,還包括部分含有姓名、電子郵件、地址資訊與被遮蔽電話號碼的用戶資料庫。不過,媒體尚未獨立驗證這些資料真實性是否與Discord外洩案有關。
對此,隱私權倡議團體Electronic Frontier Foundation(電子前線基金會)表示,Discord此案凸顯線上平台年齡驗證制度的資安風險。該組織副主任Maddie Daly指出,「一旦使用者提交身分資料,就無從得知這些資料會如何儲存、處理與分享。只要系統一旦遭駭,風險即難以承受。」
事實上,今年稍早女性匿名社群App「Tea」也曾爆出資料外洩事件,約7.2萬張上傳作為性別驗證的用戶照片被駭客盜取,凸顯相關平台在處理個資方面的潛在風險。
目前,Discord已主動聯繫所有受影響用戶,並同步通知執法單位,也已立刻撤銷該第三方廠商的系統存取權限,並與數位鑑識公司合作進行全面調查,確保平台未來資安強度。
Discord強調,此次事件並非其主系統遭駭,而是駭客入侵其第三方客服廠商系統後,非法取得用戶資料。而這些資料主要來自近期進行年齡驗證或向客服申訴年齡判定結果的用戶,駭客透過攻擊客服系統,取得這些使用者上傳的身分證。
對於台灣用戶是否受到影響,Discord尚未提供進一步的地區性統計,但建議曾進行身份驗證的用戶應密切注意個資動態。