ハッカーは、第三者のカスタマーサービスプロバイダーが侵害されたことにより、一部のDiscordユーザーから氏名や政府発行のIDを含む個人を特定できる情報や部分的な支払い情報を盗みました。
この攻撃は9月20日に発生し、DiscordのカスタマーサポートやTrust and Safetyチームとやり取りした「限られた数のユーザー」に影響を与えました。
Discordはもともとゲーマー向けのコミュニケーションプラットフォームとして作られ、ユーザーの90%以上を占めていますが、現在はテキストメッセージ、ボイスチャット、ビデオ通話などを通じて様々なコミュニティに拡大しています。
プラットフォームの統計によると、2億人以上が毎月Discordを利用しています。
ハッカーが身代金を要求
影響を受けたユーザーへの通知で、メッセージング企業は攻撃が9月20日に発生し、「Discordが利用する第三者のカスタマーサービスシステムに不正な第三者が限定的にアクセスした」と述べています。
金曜日、Discordはこのインシデントを公表し、即座にサポートプロバイダーをチケッティングシステムから切り離し、調査を開始したと発表しました。
これには、カスタマーサポートプロバイダーのチケッティングシステムへのアクセス権の取り消し、社内調査の開始、調査および是正措置を支援するための大手コンピュータフォレンジック企業の起用、法執行機関との連携が含まれます – Discord
この攻撃は金銭目的であるとみられ、ハッカーは盗んだ情報を漏洩しない代わりにDiscordに身代金を要求しました。
漏洩したデータには、本名やユーザー名、メールアドレス、サポートチームに提供されたその他の連絡先情報など、個人を特定できる情報が含まれています。
このソーシャルコミュニケーションサービスによると、カスタマーサービス担当者に送信されたIPアドレス、メッセージ、添付ファイルも侵害されました。
さらに、ハッカーは少数のユーザーの政府発行ID(運転免許証、パスポートなど)の写真にもアクセスしました。
また、支払い方法、クレジットカードの下4桁、侵害されたアカウントに関連する購入履歴など、部分的な請求情報も漏洩しました。
出典: VX-Underground
VX-Undergroundセキュリティグループは、Discordユーザーから盗まれたデータの種類について「文字通り人々の全アイデンティティにあたる」と指摘しています。
脅威インテリジェンス企業Hudson Rockの最高技術責任者(CTO)であるAlon Gal氏は、ハッカーがDiscordデータを公開した場合、暗号通貨ハッキングや詐欺の解明に重要な情報をもたらす可能性があると考えています。
「もしリークされたら、このデータベースは暗号関連のハッキングや詐欺の解決にとって非常に大きなものになるでしょう。なぜなら、詐欺師は使い捨てメールやVPNの利用を覚えていないことが多く、ほとんど全員がDiscordを使っているからです」とAlon Gal氏は述べています。
現時点では、何人のDiscordユーザーが影響を受けたか、また第三者プロバイダーの名前やアクセス経路は公表されていません。
しかし、Scattered Lapsus$ Hunters(SLH)という脅威グループがこの攻撃を主張し、Discordがカスタマーサポートに使用していたZendeskインスタンスを侵害したと述べています。
ハッカーがオンラインに投稿した画像には、Discord社員が管理コンソールにアクセスするためのKolideアクセスコントロールリストが写っています。Kolideは、Oktaクラウド型ID・アクセス管理(IAM)サービスと連携するデバイストラストソリューションです。
SLHはBleepingComputerに対し、Zendeskの侵害によってDiscordユーザーデータを盗むことができたと認めました。
BleepingComputerはDiscordにさらなる詳細を問い合わせましたが、ソーシャルコミュニケーションプラットフォームからのコメントはすぐには得られませんでした。
なお、ShinyHuntersという恐喝グループが盗まれたSalesloft Drift OAuthトークンを使ってSalesforceインスタンスにアクセスしたことで、数百社が侵害されたことも注目に値します。
先月、ハッカーは760社から15億件以上のSalesforceレコードを盗んだと主張しました。
さらに最近、ShinyHuntersはデータ漏洩サイトを開設し、30社以上の被害者をリストアップしています。
