Robi się ciekawe. Firma, którą Discord obwiniona o wyciek danych, twierdzi, że nie została zhakowana

Na początku października platforma Discord poinformowała o incydencie bezpieczeństwa, który miał doprowadzić do wycieku danych osobowych części użytkowników. Wśród ujawnionych informacji miały znaleźć się skany dokumentów tożsamości, takich jak paszporty czy prawa jazdy, wykorzystywane do weryfikacji wieku. Firma zapewniała, że problem dotyczył „niewielkiej liczby” użytkowników, ale później doprecyzowano, iż chodzi o około 70 tysięcy osób.

Kilka dni po ujawnieniu incydentu Discord wskazał, że celem ataku była zewnętrzna firma 5CA, z którą współpracuje w zakresie obsługi klienta. Jednakże sama 5CA właśnie zdecydowanie zaprzeczyła tym doniesieniom, publikując oświadczenie, które stawia całą sprawę w zupełnie innym świetle. „Jesteśmy świadomi medialnych doniesień łączących 5CA z incydentem naruszenia danych jednego z naszych klientów. Wbrew tym informacjom możemy potwierdzić, że żaden z naszych systemów nie został naruszony, a 5CA nie przetwarzało żadnych dokumentów tożsamości wydawanych przez organy rządowe w imieniu tego klienta” - czytamy w komunikacie firmy.

Kilka dni po ujawnieniu incydentu Discord wskazał, że celem ataku była zewnętrzna firma 5CA, z którą współpracuje w zakresie obsługi klienta.

5CA podkreśliło również, że wszystkie jej systemy pozostają bezpieczne, a dane klientów są chronione zgodnie z rygorystycznymi standardami ochrony. „Incydent miał miejsce poza naszymi systemami i 5CA nie zostało zhakowane” - zaznaczyła spółka w dalszej części oświadczenia.

Możliwy czynnik ludzki

Wstępne ustalenia 5CA sugerują, że przyczyną wycieku mógł być błąd ludzki, choć firma nie podała szczegółów, co dokładnie oznacza ta formuła. Tymczasem w rozmowie z serwisem BleepingComputer osoby podające się za sprawców ataku ujawniły, że miały dostęp do konta Discorda w systemie Zendesk przez 58 godzin, począwszy od 20 września.

Według ich relacji dostęp uzyskano dzięki skompromitowanym poświadczeniom logowania należącym do agenta wsparcia technicznego zatrudnionego przez zewnętrzną firmę. Choć Discord nie odniósł się jeszcze bezpośrednio do stanowiska 5CA, taki scenariusz mógłby tłumaczyć, w jaki sposób dane trafiły w niepowołane ręce, bez faktycznego włamania do systemów samej 5CA.

Kto ponosi odpowiedzialność?

Sprawa dobrze pokazuje złożoność współczesnych łańcuchów dostaw usług cyfrowych, w których nawet pozornie niewielki błąd jednego z podwykonawców może doprowadzić do dużego naruszenia bezpieczeństwa danych. Jeśli potwierdzi się, że winne było pojedyncze konto zewnętrznego pracownika, przypadek ten może stać się kolejnym argumentem za wzmocnieniem wielopoziomowych zabezpieczeń dostępowych oraz regularnych audytów bezpieczeństwa u wszystkich partnerów współpracujących z dużymi platformami.

Na razie Discord milczy w sprawie oświadczenia 5CA. Użytkownicy oczekują jednak większej przejrzystości, zwłaszcza że sprawa dotyczy wrażliwych danych osobowych dziesiątek tysięcy osób.