- Nome, nome de usuário do Discord, e-mail e outros dados de contato fornecidos ao suporte ao cliente do Discord.
- Tipo de pagamento, últimos quatro dígitos dos cartões de crédito e histórico de compras se associado a uma conta.
- Endereços IP.
- Mensagens do agente de atendimento ao cliente.
- Dados corporativos limitados (materiais de treinamento, apresentações internas).
- UM número pequeno de imagens de identificação governamental (por exemplo, carteiras de motorista ou passaportes) de usuários que recorreram de uma determinação de idade.
Os dados não incluíam senhas, dados de autenticação, números completos de cartão de crédito, códigos CCV ou mensagens compartilhadas no Discord, além daquelas com suporte ao cliente.
Isso é completamente previsível
Embora eu ache que a frase “um pequeno número” possa funcionar muito aqui, o ataque é completamente previsível. Parece inevitável que, quando os governos — como a actual administração do Reino Unido — forçarem os utilizadores a partilhar dados de segurança de alto nível simplesmente para utilizarem as redes sociais, os serviços não regulamentados que verificam esses documentos de identificação se tornarão alvos atraentes para ataques.
Foi exatamente isso que aconteceu no Discord. Essa empresa recorreu a terceiros para lidar com consultas desse tipo, esse terceiro foi hackeado e dados valiosos foram roubados. Este nem é o primeiro ataque desse tipo. Há um ano, um ataque contra o serviço de verificação de identidade dos EUA AU10TIX expôs nomes, datas de nascimento, nacionalidade, números de identificação, o tipo de documentos carregados (como carteira de motorista) e imagens desses documentos.
Fonte: Computer World
