Delincuentes robaron información de pago parcial y datos personales,
incluyendo nombres e identificaciones oficiales, de algunos usuarios de
Discord tras comprometer la seguridad de un proveedor de servicio al cliente
externo.
Discord se creó como una plataforma de comunicación para gamers, que representan más del 90% de la base de usuarios, pero se expandió a otras comunidades, permitiendo mensajes de texto, chats de voz y videollamadas. Según las estadísticas de la plataforma, más de 200 millones de personas usan Discord cada mes.
ocurrió el 20 de septiembre y afectó a un número limitado de usuarios
que interactuaban con el servicio de atención al cliente o los equipos de
Confianza y Seguridad de Discord. En la notificación a los usuarios afectados, la empresa de mensajería afirma que «una persona no autorizada obtuvo acceso limitado a un sistema de servicio al cliente externo utilizado por Discord».
Discord reveló el incidente públicamente, indicando que tomó medidas
inmediatas para aislar al proveedor de soporte de su sistema de tickets e
inició una investigación. Esto incluyó la revocación del acceso del proveedor
de atención al cliente a nuestro sistema de tickets, el inicio de una
investigación interna, la contratación de una firma líder en informática
forense para apoyar nuestra investigación y las iniciativas de remediación, y
la participación de las fuerzas del orden.
El ataque parece tener una motivación económica, ya que los atacantes
exigieron un rescate a Discord a cambio de no filtrar la información robada:
-
La red social afirma que las direcciones IP, los mensajes y los archivos
adjuntos enviados a los agentes de atención al cliente también se vieron
comprometidos. -
Los datos expuestos incluyen información de identificación personal, como
nombres reales y nombres de usuario, direcciones de correo electrónico y
otros datos de contacto proporcionados al equipo de soporte. -
Los atacantes también accedieron a fotos de
documentos de identificación oficiales
(licencia de conducir, pasaporte) de un pequeño número de usuarios. También
se expuso información parcial de facturación, como el tipo de pago, los
últimos cuatro dígitos de la tarjeta de crédito y el historial de compras
asociado a la cuenta comprometida.
El grupo de seguridad
VX-Underground señala
que
«el tipo de datos robados a los usuarios de Discord representa literalmente
la identidad completa de las personas».
Alon Gal, director de tecnología de la empresa de inteligencia de amenazas
Hudson Rock, cree que si se publican los datos, podrían proporcionar
información crucial para ayudar a descubrir o resolver hackeos y estafas de
criptomonedas. «Simplemente diré que si se filtra, esta base de datos será fundamental
para resolver hackeos y estafas relacionadas con criptomonedas, ya que los
estafadores no suelen recordar haber usado un correo electrónico desechable
ni una VPN, y casi todos están en Discord»,
afirma Alon Gal, director de tecnología de Hudson Rock.
Actualmente, se desconoce cuántos usuarios de Discord están afectados, y el
nombre del proveedor externo o el vector de acceso no se ha revelado
públicamente. Sin embargo, el grupo de amenazas Scattered Lapsus$ Hunters
(SLH) se atribuyó el ataque. SLH confirmó a BleepingComputer que se trató de una brecha de seguridad de Zendesk que permitió el robo
de datos de los usuarios de Discord.
Pero, si bien SLH inicialmente pareció confirmar a BleepingComputer que
estaban detrás del ataque a Zendesk en Discord, posteriormente declararon que
se trataba de un grupo diferente al que conocen y con el que interactúan.
Una imagen que los atacantes publicaron en línea muestra una lista de control
de acceso de Kolide para empleados de Discord con acceso a la consola de
administración. Kolide es una solución de confianza para dispositivos que se
conecta al servicio de Gestión de Identidad y Acceso (IAM) basado en la nube
de Okta para la autenticación multifactor.
Fuente:
BC