流行跨平台通讯应用Discord遭遇的安全漏洞可能极其严重。一个安全研究小组声称黑客窃取了210万张护照和驾照照片,而官方则声称仅涉及”少量用户”。
10月3日,Discord发布警告称其遭遇一起”安全事件”,涉及第三方客服平台。根据事件后续报告,这似乎是一次针对Zendesk的攻击。
Discord对事件的描述声称,它影响了曾联系其客户支持或信任与安全团队的”少量用户”。
公司坚称,攻击者并未直接获取对Discord的访问权限。Discord本身的消息或活动未被访问,但发送给客服的通信内容存在泄露风险。
管理层随后采取措施撤销了Zendesk对Discord工单系统的访问权限,并启动了内部调查,聘请了计算机取证公司。Discord也正在联系受影响的用户,并就此与执法部门合作。
影响范围存疑
关于哪些数据面临风险,Discord表示包括:
- 用户姓名
- Discord用户名
- 电子邮件地址
- 提供给Discord客服的其他联系方式
- 支付类型
- 用户信用卡号后四位
- 账户关联的购买记录
- 与客服人员的通信内容
- IP地址
- “有限的公司数据”,如培训材料。
Discord坚称,完整的信用卡号、Discord消息和活动、密码或认证数据不在此次泄露之列。
公司于周六发布的官方公告并未披露总共有多少账户受到影响。然而,Discord确实拥有6.89亿注册用户和2.59亿月活跃用户。
存在争议的一点是,有警告称攻击者还获取了曾对年龄判定提出申诉用户的”少量政府身份证件图片”。这些图片包括驾照和护照。
尽管Discord将其描述为”少量”,但一个知名的漏洞研究X账户提出了不同说法。
据”vx-underground”称,此次窃取的数据中包含总计1.5太字节与年龄验证相关的照片。这相当于219万张驾照和护照图片。
该账户补充说,这些包含个人详细信息的图片库为攻击者提供了相当大的”杠杆”。鉴于Discord的广泛使用,这也可能影响名人、政治家、政府官员及其他重要目标。
用户能做的有限
此次漏洞影响了包括iOS、macOS和iPadOS在内的多个平台用户。然而,由于事件涉及Discord的消费者帮助台,除非用户曾联系支持部门并提供了诸如驾照等信息,否则不会真正直接影响到大多数用户。
对于这些用户,Discord保证将直接联系可能受影响的用户,告知后续步骤。
即便如此,对于普通互联网用户而言,此类敏感信息的泄露即使不涉及自身信息也可能带来问题。这些详细信息不仅可直接用于攻击账户,还可在网络钓鱼攻击中用作证明。
互联网用户应保持良好的网络卫生习惯,包括注意在何时何地下载来源可疑的应用程序和文件。在与他人交流时,需考虑所谈信息是否可能从驾照或护照中获取,或者是否可能被在线交流的攻击者收集。
