Forrige uke skrev Gamer.no om et datainnbrudd hos Discords kundeservice, som resulterte i at store mengder personlig brukerinformasjon ble stjålet.
Dette inkluderte ting som navn, brukernavn, e-poster og IP-adresser fra brukere som har vært i kontakt med kundeservice og begrenset kredittkortinformasjon.
Siden har det kommet nye detaljer om omfanget av innbruddet, og det er tegn til at de tidlige rapportene kan ha undervurdert omfanget.
Pressemeldingen på Discords egne nettsider sier at det var 70 000 bilder av førerkort, pass eller andre former for legitimasjon som ble stjålet, men som Cyber Security News melder, kan så mye som 2,18 millioner bilder med dokumentasjon være stjålet. Det skal etter sigende være 1,5 terabyte med bilder på avveie.
I tillegg til bilder, skal hackerne ha stjålet kundeserviceinformasjon til 5,5 millioner brukere på tvers av 8,4 millioner henvendelser.
Discord selv benekter disse tallene.
Selskapet er i ferd med å varsle alle berørte brukere. De advarer også om at all e-post fra dem vil komme fra adressen «[email protected]» – og at selskapet ikke vil ta kontakt via noen annen kanal angående denne saken.
Tyvene tok kontakt
Søndag ble det også klart at tyven skal ha tatt kontakt med YouTube-kanalen «No Text To Speech» (NTTS) – som lager videoer om bruker- og nettsikkerhet, spesielt på Discord.
En person som utga seg for å være hackeren skal ha vist til konkret informasjon mellom NTTS og Discord som bekrefter at de har tilgang til stjålet data.
Tyven påpekte at kontakten var del av en kampanje for å tvinge Discord til å betale løsepenger på 3,5 millioner dollar – en sum de hevder at ble senket fra 5 millioner etter at Discord først nektet å betale.
Discord har uttalt at selskapet aldri kommer til å betale løsepenger, ettersom dette kun vil oppfordre andre tjuver til å forsøke det samme, mot dem eller mot andre tjenester.
Dersom datatyvene ikke får det de vil, advarte de NTTS om at de enten vil selge informasjonen videre eller slippe den løs på nettet. De prøvde også å fraskrive seg ansvar for sine egne handlinger ved å legge skylden på Discords uvilje til å innfri løsepengekravene.
Mindreårige utsatt
Som NTTS påpeker er det mest urovekkende hvor mange mindreårige som er utsatt i dette angrepet.
Discords aldersgrense for brukere er 13 år, som gjør at brukere som må bekrefte alderen sin til kundeservice trolig har et betydelig antall personer som er mellom 13 og 18 år gamle. Dette kan gjøre dem utsatt for press fra farlige aktører som får tak i den stjålne informasjonen.
I tillegg omfatter angrepet andre former for kontakt med kundeservice, som potensielt brukerrapportering av upassende materiale på Discord. En ytterste konsekvens av dette er at hackerne kan være i besittelse av overgrepsmateriale av mindreårige.
Discord har i lengre tid vært advart om farlige aktører på plattformen, og dette er heller ikke første gang de har blitt utsatt for datainnbrudd.
