Peretas telah mencuri informasi pengguna dari Discord, platform komunikasi suara, video, dan teks yang populer, melalui penyedia layanan pelanggan pihak ketiga, dan foto tanda pengenal pemerintah termasuk di antara informasi yang dicuri. Perselisihan diposting tentang pelanggaran tersebut pada 3 Oktober dan memperbarui postingan pada hari Rabu.
Dalam pernyataannya, Discord mengatakan bahwa sekitar 70.000 pengguna mungkin telah memperlihatkan foto tanda pengenal resmi mereka. Foto tanda pengenal tersebut dibagikan kepada vendor pihak ketiga untuk membantu meninjau banding terkait usia. Anda harus berusia minimal 13 tahun untuk menggunakan situs Discord di AS dan Kanada, dan negara lain juga memilikinya batasan usia yang berbeda. Konten dengan batasan usia tertentu hanya tersedia bagi mereka yang berusia 18 tahun ke atas.
“Tidak ada pesan atau aktivitas yang diakses di luar apa yang mungkin telah didiskusikan pengguna dengan dukungan pelanggan atau agen kepercayaan & keamanan,” kata pernyataan itu. “Kami segera mencabut akses penyedia dukungan pelanggan ke sistem tiket kami dan terus menyelidiki masalah ini.”
Jangan lewatkan konten teknologi dan ulasan berbasis laboratorium kami yang tidak memihak. Tambahkan CNET sebagai sumber Google pilihan.
Meskipun Discord secara khusus menyebutkan jumlah 70.000 pengguna yang terpengaruh, Yahoo News mengutip sebuah laporan dari kelompok riset keamanan siber VX-Underground menyatakan bahwa “para penyerang mengklaim telah mengambil 1,5 terabyte data, termasuk sekitar 2.185.151 gambar yang terkait dengan permohonan verifikasi usia.”
Perwakilan Discord mengulangi pernyataan online tersebut dan mengatakan, “nomor yang dibagikan tidak benar dan merupakan bagian dari upaya untuk memeras pembayaran dari Discord.” Mereka menambahkan bahwa perusahaan tersebut, “tidak akan memberi penghargaan kepada mereka yang bertanggung jawab atas tindakan ilegal mereka.”
Tebusan diinginkan
Menjadi lebih umum bagi penjahat yang membobol situs web untuk meminta pembayaran guna menjaga kerahasiaan informasi yang mereka curi, dan Discord mengatakan hal ini terjadi di sini.
“Pihak yang tidak berwenang menargetkan layanan dukungan pelanggan pihak ketiga kami untuk mengakses data pengguna, dengan tujuan untuk memeras uang tebusan finansial dari Discord,” kata pernyataan itu.
Pernyataan itu mengatakan penegak hukum terlibat dalam kasus ini.
Informasi apa yang diambil?
Pernyataan Discord mengatakan bahwa informasi yang dicuri mungkin termasuk nama, nama pengguna Discord, alamat email, dan detail kontak lainnya yang mungkin diberikan orang ke dukungan pelanggan. Pesan yang dibagikan kepada dukungan pelanggan, termasuk gambar tanda pengenal pemerintah, juga dicuri.
Discord mengatakan bahwa “informasi penagihan terbatas”, termasuk empat digit terakhir nomor kartu kredit, telah dicuri, tetapi tidak seluruh nomor kartu kredit atau kode CCV. Situs tersebut juga mengatakan bahwa kata sandi dan data otentikasi tidak dicuri.
Tampaknya pencurian semacam ini akan semakin meningkat karena semakin banyak situs yang harus mematuhi undang-undang verifikasi usia di beberapa negara bagian AS dan negara lain yang menerapkan tindakan keras dalam memverifikasi usia pengguna untuk menggunakan sebuah situs. ID pemerintah yang diberikan mungkin cukup bagi situs untuk memberikan hak kepada orang-orang untuk melihat konten tertentu, namun begitu ID tersebut ada di database situs, ID tersebut dapat dicuri.
Apa yang harus saya lakukan sekarang?
Pesan tertanggal 8 Oktober mengatakan Discord sedang “dalam proses menghubungi pengguna yang terkena dampak,” yang harus mencari pesan dari noreply@discord.com, dan bahwa situs tersebut tidak akan menggunakan telepon untuk menjangkau pengguna.
Sepertinya tidak banyak yang dapat dilakukan pengguna Discord saat ini, kecuali mewaspadai pesan atau panggilan mencurigakan yang dapat menggunakan informasi yang dicuri untuk mencoba mengelabui atau melakukan phishing kepada pengguna. Aktifkan autentikasi dua faktor jika Anda belum mengaktifkannya.
Reaksi pengguna
Beberapa pengguna Reddit mengatakan Discord tidak pernah menanggapi permohonan verifikasi usia mereka, meskipun mereka kemudian diberitahu bahwa informasi mereka telah disusupi.
“Discord mengabaikan tiket verifikasi ID saya selama 2 minggu hanya untuk memberi tahu saya bahwa tiket yang sama telah terlibat dalam pelanggaran data,” tulisnya. satu pengguna Reddit. “Sejujurnya aku senang karena aku tidak memberikannya kepada mereka, mendapat pemblokiran akses ke separuh server tempatku berada, tapi kurasa itu lebih baik daripada ID-ku bocor.”
Orang lain mengatakan hal serupa juga terjadi pada mereka.
“Saya baru saja mendapat email yang sama,” satu orang menulis di Reddit. “Saya mengajukan banding atas penentuan usia saya pada bulan Agustus. Saya mendapat beberapa email kembali, tapi singkatnya robot di sisi lain tidak pernah menerima ID saya. Hampir 2 bulan kemudian, saya diberitahu bahwa data saya bocor di internet karena manajemen Discord tidak memeriksa prioritasnya.”
