Discord, yetkisiz bir tarafın, temel altyapısını değil ama üçüncü taraf müşteri destek, sağlayıcı sistemlerinden birini hacklediğini açıkladı. Saldırganların, ödeme yapılmadığı takdirde verileri yayınlamakla tehdit ederek Discord’dan para talep ettiği bildiriliyor.
Saldırganlar, 2,1 milyon resmi kimlik görüntüsü de dahil olmak üzere 1,5 TB “yaş doğrulama verisi” çaldıklarını iddia etti; ancak Discord bu rakamları reddediyor.
Discord, bu ihlalin Discord’un Müşteri Desteği, Güven ve Emniyet sistemiyle etkileşim kuran sınırlı sayıda kullanıcıyı (örneğin, yaş doğrulama başvurusunda bulunan kullanıcıları) etkilediğini belirtiyor. Discord, hacklemeye yol açan tedarikçinin destek sistemlerine erişimini iptal etti.
Saldırgan, kullanıcıların destek, doğrulama süreçlerinin bir parçası olarak gönderdiği verilere erişmek için sağlayıcının destek talep, destek aracı sistemini hedef aldı. Saldırganın, tespit edilmeden önce saldırganın satıcının sistemine saatlerce –bazı raporlara göre yaklaşık 58 saat– erişmesiyle 20 Eylül 2025 civarında meydana geldiği belirtiliyor.
Hangi veriler ifşa edildi?
Discord’un kamuya açıklamasına ve üçüncü taraf raporlamasına göre; isimler, Discord kullanıcı adları, e-posta adresleri ve kullanıcıların destek ekibiyle iletişime geçerken sağladığı diğer iletişim bilgileri ve yaş doğrulama kararlarına itiraz eden kullanıcılar tarafından gönderilen “az sayıda” resmi kimlik fotoğrafı (örneğin pasaport, ehliyet) sızmış durumda..
Kullanıcılar destek aracılığıyla sağlamışsa IP adresleri, sınırlı fatura bilgileri (ödeme türleri, kredi kartının son 4 hanesi) de hacklenen bilgiler arasında.
Buna karşın, Discord’un ifşa edilmediğini söylediği bilgiler şöyle;
- Tam kredi kartı numaraları veya CVV kodları.
Discord - Şifreler, kimlik doğrulama belirteçleri veya destek etkileşimi dışındaki Discord hesap etkinlikleri/mesajları.
- Temel Discord veritabanları veya genel kullanıcı trafiği.
Discord, yalnızca destek/doğrulama iş akışlarında kimlik gönderen kullanıcıların risk altında olduğunu, genel kullanıcı tabanının risk altında olmadığını iddia ediyor.
Nasıl Hacklendi?
Uzmanlara göre, saldırgan Discord’u doğrudan hacklemedi, ancak Discord tarafından müşteri desteği için kullanılan bir üçüncü taraf satıcının sistemine erişti –muhtemelen Zendesk veya benzeri bir sistem kullanıyordu–.
Bazı raporlar, bir destek temsilcisi hesabının (veya satıcı çalışanı hesabının) ele geçirildiğini ve destek panellerine uzun saatler boyunca erişmek için kullanıldığını belirtiyor.
Saldırgan, tespit edilmeden önce birkaç saat boyunca (bazı kaynaklar: yaklaşık 58 saat) erişimini sürdürdü; bu da tedarikçi sistem kayıtlarındaki izleme açıkları/izinsiz giriş tespitini düşündürüyor.
Saldırganın destek sistemlerine erişimi olduğu için, itirazlarda sunulan ekleri/kimlik görüntülerini görüntüleyebilir, indirebilir, destek kaydı günlüklerini okuyabilir vb.
Devlet kimlikleri yüksek değerlidir. Bu tür kimlikler genellikle değiştirilemediği için, ifşa olan kişiler kimliklerinin çalınması, kendi adlarına hesap açılması, yapay kimlik dolandırıcılığı vb. durumlarla karşı karşıya kalabilir.
Kaynak : 