После утечки данных в Discord выявили около 70 тысяч пользователей, чьи фотографии в удостоверениях личности могли быть украдены и скомпрометированы. Хакеры же утверждают, что раскрыли данные 5,5 млн пользователей.
Discord не будет выплачивать деньги злоумышленникам. Компания также опровергает заявления о том, что в результате взлома были раскрыты фотографии 2,1 млн удостоверений личности.
Сами хакеры утверждают, что взлом произошёл через службу поддержки Zendesk в Discord, но компания не подтвердила и это, сообщив лишь о том, что инцидент затронул сторонний клиентский сервис.
В разговоре с хакерами журналисты BleepingComputer выяснили, что Discord не раскрывает масштабов взлома. Злоумышленники отметили, что они украли 1,6 ТБ данных из экземпляра Zendesk компании.
По их словам, доступ к экземпляру Zendesk удалось получить на 58 часов, начиная с 20 сентября. Злоумышленники подчёркивают, что атака не была вызвана не уязвимостью, а произошла через взломанную учётную запись сотрудника службы поддержки, работающего через аутсорсингового поставщика услуг по аутсорсингу бизнес-процессов (BPO).
В итоге хакеры получили доступ к приложению поддержки, известному как Zenbar, которое позволяло им выполнять различные задачи, такие как отключение многофакторной аутентификации и поиск номеров телефонов и адресов электронной почты пользователей.
Используя доступ к платформе поддержки Discord, они похитили 1,6 терабайта данных, включая около 1,5 ТБ вложений к тикетам и более 100 ГБ расшифровок тикетов — всего около 8,4 млн, затрагивающих 5,5 млн уникальных пользователей, а также данные около 580 тысяч пользователей, которые содержали какую-либо платёжную информацию.
Злоумышленники признали, что не знают точно, сколько государственных удостоверений личности было украдено, но полагают, что их число превышает 70 тысяч, поскольку, по их словам, было получено около 521 тысячи запросов на проверку возраста.
Они также поделились образцами украденных пользовательских данных, которые могут включать в себя широкий спектр информации, в том числе адреса электронной почты, имена пользователей и идентификаторы Discord, номера телефонов, платёжную информацию, дату рождения, информацию, связанную с многофакторной аутентификацией, уровни подозрительной активности и другие внутренние данные.
Платёжную информацию некоторых пользователей, предположительно, можно было получить благодаря интеграции Zendesk с внутренними системами Discord. Эта интеграция позволяла злоумышленникам выполнять миллионы API-запросов к внутренней базе данных Discord через платформу Zendesk.
В BleepingComputer не смогли проверить заявления хакеров или подлинность образцов данных.
Группа потребовала выкуп в размере $5 млн, позже снизив сумму до $3,5 млн, и вела приватные переговоры с Discord с 25 сентября по 2 октября. После того, как платформа прекратила общение и опубликовала заявление об инциденте, злоумышленники были «крайне разгневаны» и теперь планируют разместить украденные данные.
Об атаке стало известно в начале октября. Тогда представители Discord подтвердили, что приняли немедленные меры по изоляции службы поддержки от своей системы тикетов и начали расследование.
Источник: habr.com