Discord数据泄露事件的推责大战已经开始,被该公司指责的一家服务供应商声称,黑客攻击并非由其造成,被窃数据也非由其管理。
十月初,Discord披露发生一起”安全事件”,影响约7万名用户。在10月3日发布初步通知后,Discord随后更新了页面,将黑客攻击归咎于其一家供应商。
修改后的声明声称,这是第三方服务提供商5CA的”安全漏洞”,Discord表示5CA用于其客户支持系统。
10月14日,5CA Systems对此指控作出回应。针对有关5CA是漏洞根源的报道,该公司坚称其系统并未卷入此事。
此外,5CA表示其并未为Discord处理任何政府签发的身份证件。据报道,此次泄露涉及数万张用于年龄验证的护照和驾驶执照照片。
5CA进一步表示,其系统仍然安全,客户数据持续受到保护,并且正在自行进行调查,同时就此事与Discord及网络安全专家合作。
该公司声称,初步调查结果显然表明,事件发生在5CA系统之外,公司并未遭到黑客入侵。然而,5CA认为事件可能源于”人为错误”,但未详细说明这具体意味着什么。
公开推卸责任
Discord更改新闻稿和5CA发布通知,并未直接采取任何措施来解决问题,而实际上是两家公司试图控制舆论的实例。或者至少,试图将诸如安全或隐私泄露等敏感话题的责任推向另一个方向。
Discord最初在其披露信息中表示,事件是由于一家参与客户服务的第三方服务提供商造成的。通过直接点名一家公司,这比将责任推给一个未指名且模糊的实体更能限制对Discord声誉的损害。
我们不知道Discord的指责是否准确,尤其是5CA否认其有过错。我们也不知道5CA声称自己是清白的说法是否属实,在可信的第三方或执法部门介入并发表声明之前,无人知晓。
然而,这并非Discord对其初始通知做出的唯一更改。
最初,Discord称泄露影响了”有限数量的用户”,但未说明具体受影响人数。直到几天后,以及在X平台上出现声称有210万张图片泄露的网上言论之后,通知中才添加了7万这个数字。
尽管Discord可能将5CA推出去”背锅”,而5CA也以牙还牙,但要查明谁真正该负责尚需时日。然而,显然Discord是负有责任的。
敏感信息
关于此次泄露,已知的是它涉及政府签发的身份证件图片,这些图片是作为年龄相关申诉流程的一部分提交的。与许多其他应用程序一样,Discord必须尝试确认用户的年龄,以根据世界各地近期出台的各种新法律保护用户免受禁止内容的侵害。
Discord立即声明其系统未受攻击,目标是用于处理年龄相关客户服务查询的第三方工具。用户的Discord消息和活动不在泄露范围之内。
根据Discord的说法,泄露的数据包括:
- 用户姓名
- Discord用户名
- 电子邮件地址
- 提供给Discord客户支持的其他联系方式
- 支付类型
- 用户信用卡号的后四位
- 账户关联的购买历史记录
- 与客服人员的消息记录
- IP地址
- “有限的公司数据”,如培训材料。
到目前为止,尚未有人承认对此次泄露负责,并且目前这些数据似乎尚未被出售或在他处使用。然而,这些详细信息可能被用于进一步的黑客攻击。
Discord表示将联系受影响的用户,告知泄露事件,包括哪些数据被窃取。
尽管Discord与一名安全研究员在受影响用户和图片数量上存在分歧,但相对于Discord的总用户基数而言,这个数字相对较小。Discord拥有约6.89亿注册用户和2.59亿月活跃用户。
对于其他未直接受泄露影响的用户,他们对此情况无能为力。在某些情况下,他们可能会收到基于黑客从泄露中收集到的详细信息而发送的消息,黑客利用身份证件上的信息来说服潜在受害者进行诈骗。
一如既往,互联网用户应继续保持良好的上网习惯,例如质疑通信来源并确保文件下载自合法渠道。
