Des pirates informatiques affirment avoir volé jusqu'à 2,1 millions de photos d'identité dans une brèche de 1,5 To dans les données de Discord
Les pirates informatiques qui revendiquent la responsabilité d'une faille majeure sur le site de Discord ont intensifié leurs menaces en déclarant qu'ils possédaient 1,5 téraoctet de photos de vérification de l'âge, soit 2 185 151 images de documents d'identité délivrés par le gouvernement, tels que des passeports et des permis de conduire, ainsi que des selfies soumis par des utilisateurs lors d'appels automatisés de vérification de l'âge.
Les pirates en question utilisent les informations volées sur les utilisateurs pour extorquer une rançon à Discord. Cette faille de sécurité a suscité l'inquiétude générale quant aux risques d'usurpation d'identité et d'hameçonnage, d'autant plus que Discord compte plus de 250 millions d'utilisateurs actifs mensuels.
La situation a d'abord été signalée par des traqueurs de cybersécurité tels que Hackmanac et Discord Previews en ligne. Le système de vérification de l'âge ne fait qu'amplifier les inquiétudes concernant les pratiques de conservation des données et les pressions réglementaires en faveur de la vérification de l'âge dans des régions comme le Royaume-Uni et l'Australie.
La faille de sécurité remonte au 20 septembre, lorsqu'une personne non autorisée a compromis le fournisseur tiers de services à la clientèle de Discord, Zendesk, ce qui lui a permis d'accéder aux systèmes de billetterie sans infiltrer directement l'infrastructure centrale de Discord.
Discord a détecté l'anomalie peu de temps après et a annoncé publiquement l'incident le 3 octobre, en précisant que seul un nombre limité d'utilisateurs, qui avaient contacté le service clientèle ou les équipes chargées de la confiance et de la sécurité, étaient en danger.
Dans sa mise à jour officiellel'entreprise a détaillé l'étendue de la brèche, mentionnant que l'attaquant visait explicitement à extraire des données à des fins d'extorsion, une manœuvre calculée qui a fait des vagues dans d'autres secteurs tels que les crypto-monnaies, où Zendesk est connu pour servir des échanges tels que BtcTurk et HTX, tous deux victimes de piratages de plusieurs millions de dollars auparavant.
Selon le communiqué de presse de Discord, les informations compromises sont des noms, des noms d'utilisateur, des adresses e-mail et d'autres coordonnées partagées avec le support, y compris des données de facturation partielles telles que les types de paiement, les quatre derniers chiffres des cartes de crédit et les historiques d'achat, les adresses IP, les conversations avec les agents du support client et des documents internes limités tels que des documents de formation et des présentations.
Les numéros de cartes de crédit, les codes CVV, les messages privés et les mots de passe sont absents de ces fuites. Discord a reconnu que les pirates ont eu accès à "un petit nombre d'images de cartes d'identité gouvernementales" provenant d'appels de vérification de l'âge, mais les pirates affirment qu'ils ont plus de deux millions de fichiers de ce type, potentiellement récoltés avant que les suppressions automatiques ne puissent avoir lieu.
Discord a commencé à envoyer des courriels aux personnes concernées et demande instamment aux utilisateurs de rester attentifs à toute communication suspecte.
