据The Verge报道,Discord宣布其一家第三方客户支持合作伙伴近期遭到“未授权方”入侵,Discord称该未授权方试图“索要经济赎金”。
尽管黑客并未直接获取Discord的访问权限,但部分用户的数据仍因此次入侵受到影响——具体为用户与Discord客户支持团队及信任与安全团队共享的数据,包括为年龄验证而提交的政府身份证件。
Discord在一份新闻稿中表示,所有受此次入侵影响的用户很快将收到邮件通知。可能面临风险的数据类型包括姓名、Discord用户名、电子邮箱地址、联系方式、支付方式、信用卡号的后四位(而非信用卡验证码或完整信用卡号)、购买记录、IP地址、与客户支持沟通的消息记录,以及“有限的企业数据”。
此次入侵中最令人担忧的数据,是少量为年龄验证目的提交给Discord的政府身份证件图像,例如护照或驾照。Discord补充称:“若你的身份证件可能已被获取,相关信息将在你收到的邮件中注明。”值得注意的是,此次入侵未导致密码、认证数据,或“超出用户与客户支持沟通范围的消息记录”泄露。Discord同时表示,已撤销受影响客户支持合作伙伴对其系统的访问权限。
若你近期未向Discord客户支持团队共享过信息,那么你大概率不会受此次入侵影响。但如果你认为自己的数据可能已泄露,请留意来自Discord的邮件。若你的身份证件涉及此次泄露,建议查阅美国国税局(IRS)或英国国家网络安全中心(NCSC)发布的身份盗用及数据泄露应对指南。
此次数据泄露发生在Discord开始在部分地区要求年龄验证的六个月后。英国《在线安全法》已将此类年龄验证纳入法律要求,不过用户很快找到了规避方法,包括使用《死亡搁浅》(Death Stranding)中的拍照模式。美国部分州也已通过类似的年龄验证法律。
Discord此次数据泄露充分说明,为何全球民众会对这类政策感到担忧与不满——除了审查相关问题外,将政府身份证件这类敏感数据的扫描件和照片提供给可能缺乏足够安全措施保护这些数据的公司,本身就存在明显风险。