Pazartesi gününden itibaren Discord, bu yılın başlarında açıklanan bir veri ihlalinden etkilenen kullanıcılara, olayda hangi Kişisel Tanımlama Bilgilerinin (PII) açığa çıktığını bildirmek için ulaşıyor.
İhlal, 29 Mart’ta üçüncü taraf bir hizmet sağlayıcıda tespit edilen ve bir müşteri destek temsilcisine ait bir hesabın ele geçirilmesini içeren bir güvenlik ihlalinden kaynaklandı.
Bu olay daha sonra 12 Mayıs’ta potansiyel olarak etkilenen kişilere gönderilen e-postalar aracılığıyla açıklandı.
Saldırganlar, temsilcinin destek bildirim kuyruğuna, kullanıcı e-posta adreslerine, Discord desteğiyle gönderdikleri mesajlara ve destek bildirimi eklerine erişim sağladı.
Yanıt olarak Discord, olayı öğrendikten sonra destek hesabının ele geçirilmesine hızlı bir şekilde tepki göstererek hesabı devre dışı bıraktığını söyledi.
Etkilenen kişilere gönderilen mektuplara göre saldırıda yalnızca 180 kullanıcının hassas kişisel bilgileri açığa çıktı.
Şirket, Maine Başsavcılığına sunulan veri ihlali bildirimlerinde “Discord, olayı çözmek için derhal adımlar attı. Kapsamlı bir soruşturma yürütüldü” diyor.
Discord, “13 Haziran 2023’te Discord, ilgili destek bildirimlerinin incelemesini tamamladı ve bu destek bildirimlerinden bir veya daha fazlasının, kişinin adı, ehliyet veya eyalet kimlik kartı numarası da dahil olmak üzere bir Maine sakinine ait kişisel bilgileri içerdiğini belirledi.” Gizlilik Ekibi, etkilenen kullanıcılara gönderilen mektuplarda bunu söylüyor.
Oldukça popüler bir sosyal medya ve anlık mesajlaşma platformu olan Discord’un aylık 150 milyon aktif kullanıcısı ve haftalık yaklaşık 19 milyon aktif sunucusu olduğu iddia ediliyor.
BleepingComputer daha fazla ayrıntı için Discord’a ulaştı ancak bu makale yayınlanmadan önce bir açıklama alamadı.
İlgili bir haberde, Discord.io olarak bilinen üçüncü taraf ve resmi olmayan bir davet hizmeti, yaklaşık 760.000 üyeye ait bilgilerin açığa çıkmasına neden olan büyük bir veri ihlalinin ardından geçen hafta kapatıldı.
Discord.io veritabanı, yeni Breached hack forumlarında satışa sunuldu ve tehdit aktörü, çalınan bilgilerin gerçek olduğunun kanıtı olarak dört kullanıcı kaydını paylaştı.
İhlalde ele geçirilen hassas veriler arasında Discord.io üyelerinin kullanıcı adları, e-posta adresleri, fatura adresleri (sınırlı sayıda kişiye ait), tuzlanmış ve karma şifreler (sınırlı sayıda kişiyi etkileyen) ve ilgili Discord kimlikleri yer alıyor.
Discord.io, “Bu bilgiler özel değildir ve sizinle sunucu paylaşan herkes tarafından elde edilebilir. Ancak bu bilgilerin ihlale dahil edilmesi, diğer kişilerin Discord hesabınızı belirli bir e-posta adresine bağlayabileceği anlamına gelir.” dedi. o zaman.