This post is also available in:
English (אנגלית)
מתקפת סייבר שבוצעה לאחרונה על מערכת התמיכה של דיסקורד חשפה מידע אישי של כ-70,000 משתמשים, והעלתה מחדש את הסוגיה הרגישה של סיכוני אבטחה הכרוכים בהעברת תהליכי אימות גיל לספקים חיצוניים. קבוצת פשעי הסייבר Scattered LAPSUS$ Hunters נטלה אחריות לפריצה, שלפי הדיווחים בוצעה באמצעות גישה בלתי מורשית ל-Zendesk, שהיא פלטפורמה המשמשת את שותפת התמיכה הגלובלית של דיסקורד, חברת 5CA.
התוקפים טוענים כי הייתה להם גישה למערכת במשך 58 שעות, ובמהלכן הצליחו, לטענתם, להוציא כ-1.6 טרה-בייט של מידע. הנתונים שנגנבו כוללים כ-521,000 פניות הקשורות לאימות גיל וכ-8.4 מיליון פניות תמיכה בסך הכול. דיסקורד אישרה כי הפריצה השפיעה על משתמשים שיצרו קשר עם צוותי תמיכת הלקוחות או האמון והבטיחות שלה, אך הדגישה כי רק כ-70,000 מסמכי זיהוי – שהוגשו במסגרת ערעורים הקשורים לגיל בהתאם לאסדרת בטיחות דיגיטלית – כנראה נחשפו.
על פי דיווח של Cyber News, האירוע ממחיש כיצד הליכי אימות גיל – הנדרשים יותר ויותר בחקיקה, כמו חוק הבטיחות ברשת של בריטניה (UK Online Safety Act) עלולים להוביל להזדמנויות תקיפה חדשות כאשר הם מנוהלים על ידי גורמים חיצוניים. המידע שנגנב כלל לא רק תמונות של תעודות מזהות רשמיות, אלא גם שמות משתמש, כתובות אימייל, כתובות IP, פרטי חיוב מוגבלים והתכתבויות עם שירות הלקוחות. כמו כן דווח כי נחשפו פרטי תשלום חלקיים של למעלה מחצי מיליון משתמשים.
מומחי אבטחת מידע מזהירים כי ככל שממשלות מרחיבות את הדרישות לאימות זהות דיגיטלית, ההסתמכות על פתרונות מצד שלישי יוצרת נקודות תורפה משמעותיות. האפשרות לאסוף מידע אישי רגיש דרך נקודת גישה אחת בלבד הופכת את פלטפורמות שירות הלקוחות ליעד אטרקטיבי במיוחד לתוקפים. החוקרים מציינים כי ספקים חיצוניים פועלים לעיתים באזורים גיאוגרפיים בעלי אסדרה שונה בתחום הגנת הפרטיות, מה שמקשה על ניהול הסיכונים.
דיסקורד הודיעה כי חסמה את הגישה של הספק שנפגע, דיווחה על האירוע לרשויות החוק, וממשיכה בחקירת המקרה. בנוסף, היא החלה ליצור קשר עם המשתמשים שהמידע שלהם עלול היה להיחשף.
פריצה זו מדגישה את הסיכונים הרחבים יותר הקשורים לאבטחת מידע במערכות זהות דיגיטלית, ומבליטה את הצורך בבקרות מחמירות יותר, ניטור מתקדם ולקיחת אחריות מלאה, במיוחד כאשר יש צד שלישי שמעורב בטיפול במידע רגיש של משתמשים.
כאן ניתן למצוא את הדיווח הרשמי של דיסקורד.
