В ходе атаки 20 сентября хакеры похитили платёжную информацию и персональные данные, включая имена и удостоверения личности некоторых пользователей Discord, после взлома стороннего поставщика услуг.
Атака затронула «ограниченное число пользователей», которые взаимодействовали со службой поддержки клиентов Discord или службами доверия и безопасности. Сотрудник платформы уточнил, что IP-адреса, сообщения и вложения, отправленные работникам службы поддержки, также были скомпрометированы. Наконец, частично была раскрыта платёжная информация, такая как способ оплаты, последние четыре цифры номера кредитной карты и история покупок, связанные со взломанными учётными записями.
В уведомлении пострадавшим пользователям платформа сообщает, что «несанкционированное лицо получило ограниченный доступ к сторонней системе обслуживания клиентов, используемой Discord».
Соцсеть публично сообщила об инциденте 3 октября. Тогда её представители подтвердили, что приняли немедленные меры по изоляции службы поддержки от своей системы тикетов и начали расследование.
Атака, по всей видимости, имела финансовую мотивацию, поскольку хакеры требовали от Discord выкуп в обмен на отказ от раскрытия украденной информации.
Группа безопасности VX-Underground отмечает, что данные, украденные у пользователей Discord, представляют собой «буквально полную личность человека».
Алон Гал, технический директор компании Hudson Rock, заявил: «В случае утечки эта база данных станет огромным подспорьем для раскрытия хакерских взломов и мошенничества, связанных с криптовалютами, поскольку мошенники часто не помнят, что использовали одноразовые адреса электронной почты и VPN, а почти все они зарегистрированы в Discord».
В настоящее время неясно, сколько пользователей Discord пострадало, а название стороннего провайдера или вектор доступа публично не разглашаются.
Однако группа Scattered Lapsus$ Hunters (SLH) взяла на себя ответственность за атаку, заявив, что взломала экземпляр Zendesk, используемый Discord для поддержки клиентов.
На изображении, опубликованном хакерами в сети, показан список контроля доступа Kolide для сотрудников, имеющих доступ к консоли администратора. Kolide — это решение для управления устройствами, подключающееся к облачному сервису управления идентификацией и доступом (IAM) Okta для многофакторной аутентификации.
SLH подтвердила BleepingComputer, что именно взлом Zendesk позволил украсть данные пользователей Discord.
Ранее экземпляры Salesforce сотен компаний были скомпрометированы после того, как группа вымогателей ShinyHunters получила к ним доступ с помощью украденных токенов OAuth Salesloft Drift. Хакеры заявили, что украли более 1,5 млрд записей Salesforce у 760 компаний. ShinyHunters запустила сайт, посвящённый утечке данных, на котором перечислены более трёх десятков жертв.
Источник: habr.com