Popüler sosyal medya platformu Discord, bir destek temsilcisinin üçüncü bir şahıstaki hesabının güvenliğinin ihlal edilmesinin ardından, kullanıcılarına bir veri ihlali yaşadığını bildirdi.
Daha sonra kötü niyetli bir kişi, aracının destek kuyruğuna yetkisiz erişim sağlayarak kullanıcı e-posta adreslerini, Discord destek mesajlarını ve bilet sistemi aracılığıyla gönderilen ekleri açığa çıkardı.
Aylık 150 milyondan fazla aktif kullanıcıdan oluşan bir kullanıcı tabanına sahip olan Discord, güvenliği ihlal edilmiş hesabı devre dışı bıraktı ve aracının makinesinde kötü amaçlı yazılım taramaları da dahil olmak üzere güvenlik kontrolleri gerçekleştirdi.
Sosyal medya platformu, üçüncü taraf ortakla işbirliği yaptı ve güvenlik önlemlerinin alınmasını sağladı, böylece böyle bir olaydan ileride kaçınıldı.
Discord, kimlik avı veya dolandırıcılık girişimleri de dahil olmak üzere hesaplarla ilgili herhangi bir olağandışı faaliyete karşı tetikte olmaları konusunda kullanıcıları uyardı.
Haberler hakkında yorum yapan ve içgörü sunan aşağıdaki siber güvenlik uzmanları:
Synopsys Software Integrity Group baş danışmanı yardımcısı Jamie Boote, “Şirketlerin verilerini korumak için yukarıdan aşağıya bir yaklaşım benimsemeleri gerekiyor. Şirketin oluşturmayı, toplamayı, depolamayı veya üretmeyi beklediği her türlü veriyi sınıflandıran ilke ve standartlarla başlar. Bu veri sınıflandırma standartları yürürlüğe girdikten sonra, şirketlerin tüm hassas veya mahremiyet verilerinin toplandığı, işlendiği veya bir envanterde saklandığı bir katalog oluşturması gerekir. Nerede ve ne olduğunu bilmiyorsanız bir şeyi koruyamazsınız.
Pentest People’da Profesyonel Hizmetler Başkanı Alex Archondakis şu yorumu yapıyor; “Kuruluşlar genellikle güvenlik kaynaklarını kendi iç ve dış varlıklarına odaklar, ancak bu saldırı, güvenliğinizin ancak tedarik zincirinizin en zayıf halkası kadar iyi olduğunu kanıtlar. Tedarik zincirinin her seviyesi, bunlardan yararlanılarak ne tür veri veya erişimin elde edilebileceğini anlamak için analiz edilmelidir. Her bölüm için seçilen şirketin, sistemlerine karşı düzenli sızma testleri yaptıklarından ve Cyber Essentials Plus gibi ilgili siber güvenlik sertifikalarına sahip olduklarından emin olmak için araştırılmalıdır. Hassas verilerinizi saklayan üçüncü taraflar söz konusu olduğunda, bu verilere erişimi olan herkesin ilgili inceleme prosedürlerinden geçtiğinden emin olunmalıdır.”
Pixel Privacy’de Tüketici Gizliliği Avukatı Chris Hauk, “Discord’un özellikle oyuncular arasında artan popülaritesi, onu dünyanın kötü oyuncuları için giderek daha çekici bir hedef haline getiriyor. Discord kullanıcıları, veri ihlalinde toplanan e-posta adreslerini kullanan herhangi bir kimlik avı e-postasına karşı tetikte olmalıdır.”
Comparitech Tüketici Gizliliği Avukatı Paul Bischoff şunları ekledi: “Dolandırıcılar, mesajlarını daha inandırıcı kılmak için ihlalden elde edilen verileri kullanarak kişiselleştirebilirler. İstenmeyen mesajlardaki bağlantılara veya eklere asla tıklamayın!”