- Discordのデータ侵害はサードパーティのサポートプロバイダーに起因 ― おそらくZendeskであり、Discord自体ではない
- 攻撃者は550万件のユーザーレコードと210万枚のID写真を、58時間のアクセス期間中に盗んだと主張
- Discordはこの数字に異議を唱え、7万件のID流出を確認、脅迫要求への支払いを拒否
Discordは、最近発生したサードパーティによるデータ侵害事件について、攻撃で盗まれた可能性のあるIDカード写真の推定枚数を含め、さらなる詳細を明らかにしました。
同社は、サードパーティのカスタマーサポートサービスプロバイダーが侵害されたとして、ユーザーに潜在的なデータ侵害について警告していました。「不正アクセス者は、その後、当社のカスタマーサポートまたはトラスト&セーフティチームを通じてDiscordに連絡した一部のユーザーの情報にアクセスしました」とDiscordは当時述べています。
攻撃者の身元は明らかにされていませんが、Discordによると、犯人は個人を特定できるデータ、連絡先情報、一部の企業データ、そして「ごく少数」の政府発行IDカードを持ち去ったとのことです。
IDカードは何枚流出したのか?
現在、BleepingComputerは、侵害された可能性が高い企業はZendeskであると主張しています。
また、攻撃者と接触することにも成功し、攻撃者は550万件のユニークユーザーのデータと、210万枚の政府発行ID写真を盗んだと主張しました。アーカイブ全体のサイズは1.6TBで、58時間にわたる継続的なアクセス中にダウンロードされたとのことです。
攻撃者は同メディアに対し、Discordが利用していた外部委託のビジネスプロセスアウトソーシングプロバイダーを通じて雇用されたサポートエージェントのアカウントが侵害され、ネットワークにアクセスしたと述べています。
ただし、Discordはこの侵害の深刻さについて同意していません。
「まず、当社のブログ記事でも述べた通り、これはDiscord自体の侵害ではなく、当社がカスタマーサービスを支援するために利用しているサードパーティサービスの侵害です」と同社は声明で述べています。
「次に、報道されている数字は誤りであり、Discordから金銭を脅し取ろうとする試みの一部です。世界中で影響を受けたアカウントのうち、政府発行ID写真が流出した可能性があるのは約7万件であり、これは当社のベンダーが年齢に関する申し立てを審査するために使用していたものです。」
「三つ目に、当社は違法行為を行った者に報酬を与えることはありません。」攻撃者は500万ドルを要求し、その後要求額を350万ドルに引き下げたとされています。
