Violation des données : le partenaire tiers de Discord a divulgué des identifiants gouvernementaux
Violation des données relatives à la vérification de l'âge : le partenaire tiers de Discord a divulgué des identifiants gouvernementaux, notamment des documents d'identité et des numéros de carte de crédit
Une cyberattaque calculée contre un prestataire de services client tiers a révélé une vulnérabilité critique dans la sécurité opérationnelle de Discord, entraînant le vol de données utilisateur à partir de tickets d'assistance. Cet incident, revendiqué par le groupe d'extorsion « Scattered Lapsus$ Hunters », ne repose pas sur une exploitation technique de l'infrastructure centrale de Discord, mais sur la compromission stratégique d'un maillon faible de sa chaîne d'approvisionnement.
Il y a 2 ans, un pirate informatique a mis en vente sur le Dark Web les données personnelles de 760 000 utilisateurs du service Discord.io. Le site avait fermé ses portes mais a assuré qu'au pire, seuls des éléments potentiellement sensibles ont été dérobés. Précision importante : Discord.io n'est pas affilié à Discord. En revanche, les noms d'utilisateur et mots de passe utilisés sur l'un sont souvent les mêmes que sur l'autre. Les tests effectués pour vérifier l'authenticité des données vendues montrent que les adresses électroniques de Discord.io sont associées à des comptes Discord. L'incident questionnait sur la sécurité du site Discord.
Récemment, une cyberattaque calculée contre un prestataire de services client tiers a révélé une vulnérabilité critique dans la sécurité opérationnelle de Discord, entraînant le vol de données utilisateur à partir de tickets d'assistance. Cet incident, revendiqué par le groupe d'extorsion « Scattered Lapsus$ Hunters », ne repose pas sur une exploitation technique de l'infrastructure centrale de Discord, mais sur la compromission stratégique d'un maillon faible de sa chaîne d'approvisionnement.
La cause profonde de cette violation réside dans le risque inhérent aux relations avec les fournisseurs tiers. Les serveurs centraux de Discord, qui hébergent les messages privés et les données d'authentification, sont restés sécurisés. Les attaquants ont plutôt ciblé un fournisseur de services à la clientèle dédié ayant un accès autorisé au système de tickets d'assistance de Discord.
- Objectif : extorsion financière. Le groupe a obtenu un moyen de pression en volant un ensemble de données défini afin de faire pression sur Discord pour obtenir une rançon.
- Méthode : en compromettant le fournisseur, ils ont contourné les défenses principales de Discord, illustrant une attaque classique de la chaîne d'approvisionnement où la sécurité de l'ensemble de l'écosystème est dictée par son partenaire le moins sécurisé.
Les données volées sont une reproduction directe des informations que les utilisateurs divulguent lorsqu'ils contactent le service d'assistance. La compromission est importante non pas en raison de son ampleur parmi la base d'utilisateurs de Discord, mais en raison de la sensibilité des tickets d'assistance concernés.
L'ensemble de données principal comprend :
- Les conversations et les pièces jointes des tickets d'assistance
- Les identifiants des utilisateurs (nom d'utilisateur, e-mail) et les adresses IP
- Des données de facturation limitées (type de paiement, 4 derniers chiffres de la carte)
L'exfiltration d'un nombre limité de documents d'identité délivrés par le gouvernement (permis de conduire, passeports) soumis pour des demandes de vérification d'âge. Cela transforme l'incident d'une fuite de données standard en un risque d'usurpation d'identité très grave.
Pourquoi cette violation est-elle importante au-delà de Discord ?
Cet incident constitue une étude de cas réelle avec deux conséquences immédiates pour le secteur technologique :
- La validation de la compromission des fournisseurs comme principale tactique d'attaque. Les acteurs malveillants se concentrent de plus en plus sur les fournisseurs de logiciels et de services, qu'ils considèrent comme un moyen plus efficace de compromettre simultanément plusieurs clients. Le piratage d'un seul fournisseur peut permettre d'accéder à des dizaines d'entreprises.
- Les conséquences imprévues des obligations de vérification de l'âge. La divulgation des pièces d'identité gouvernementales est une conséquence directe de l'obligation faite aux plateformes de collecter des documents hautement sensibles pour se conformer à la réglementation. Cela crée une nouvelle cible de grande valeur pour les pirates informatiques et transfère fondamentalement le risque aux utilisateurs, ce qui peut l'emporter sur les avantages escomptés en matière de sécurité.
La stratégie de confinement de Discord a suivi le protocole standard de réponse aux incidents : révoquer l'accès du fournisseur, faire appel à des experts en criminalistique et informer les forces de l'ordre. Pour les utilisateurs concernés, cependant, le risque persiste.
La menace la plus probable n'est pas le piratage direct d'un compte Discord, mais des campagnes de phishing très ciblées et convaincantes. Grâce à leur connaissance de l'historique d'assistance d'un utilisateur, les attaquants peuvent créer des e-mails frauduleux qui semblent légitimes, incitant les victimes à révéler leurs mots de passe ou d'autres informations sensibles. Les utilisateurs doivent traiter avec une extrême méfiance toute communication faisant référence à un ticket d'assistance.
Cette structure révisée se concentre sur le déroulement logique de l'attaque, les décisions stratégiques qui la sous-tendent et son importance plus large pour le secteur, allant au-delà d'une simple énumération des faits.
Cet incident intervient alors que Discord a adopté en mars une approche controversée pour gagner plus d'argent avant son introduction en bourse : la publicité. Depuis juin, l'application mobile de Discord est dotée de publicités vidéo. Le projet pilote pour les publicités vidéo, « Video Quests on Mobile », offre aux annonceurs la possibilité de présenter des bandes-annonces, de faire des annonces percutantes et de mettre en avant du contenu premium pour les utilisateurs. L'annonce est vivement critiquée, certains utilisateurs mécontents menaçant d'abandonner l'application au profit d'une plateforme rivale. Discord a introduit la publicité pour la première fois sur PC et consoles en 2024.
Voici le rapport de Discord :
Source : Rapport de DiscordMise à jour concernant un incident de sécurité impliquant un service client tiers
Chez Discord, la protection de la vie privée et de la sécurité de nos utilisateurs est une priorité absolue. C'est pourquoi il est important pour nous d'être transparents avec eux sur les événements qui ont un impact sur leurs informations personnelles.
Récemment, nous avons découvert un incident au cours duquel une partie non autorisée a compromis l'un des prestataires de services clients tiers de Discord. Cette personne non autorisée a alors eu accès aux informations d'un nombre limité d'utilisateurs qui avaient contacté Discord par l'intermédiaire de nos équipes d'assistance à la clientèle et/ou de confiance et de sécurité.
Dès que nous avons pris connaissance de cette attaque, nous avons immédiatement pris des mesures pour remédier à la situation. Nous avons notamment révoqué l'accès du prestataire de services d'assistance à la clientèle à notre système de tickets, lancé une enquête interne, fait appel à une société de pointe en matière d'informatique légale pour soutenir nos efforts d'enquête et de remédiation, et contacté les forces de l'ordre.
Que s'est-il passé ?
Une partie non autorisée a ciblé nos services d'assistance client tiers afin d'accéder aux données des utilisateurs, dans le but d'extorquer une rançon financière à Discord.
Quelles données ont été concernées ?
Les données susceptibles d'avoir été compromises sont liées à notre système de service client. Elles peuvent inclure :
- Nom, nom d'utilisateur Discord, e-mail et autres coordonnées fournies au service client Discord.
- Informations de facturation limitées telles que le type de paiement, les quatre derniers chiffres de votre carte de crédit et l'historique des achats associés à votre compte.
- Adresses IP.
- Messages échangés avec nos agents du service client.
- Données d'entreprise limitées (supports de formation, présentations internes).
- La partie non autorisée a également eu accès à un petit nombre d'images de pièces d'identité officielles.
Si votre pièce d'identité a pu être consultée, cela sera précisé dans l'e-mail que vous recevrez.
Quelles données n'ont pas été concernées ?
- Numéros de carte de crédit complets ou codes CCV.
- Messages ou activités sur Discord autres que ceux dont les utilisateurs ont pu discuter avec le service client.
- Mots de passe ou données d'authentification.
Que faisons-nous à ce sujet ?
Discord a pris et continuera de prendre toutes les mesures appropriées pour répondre à cette situation. Comme d'habitude, nous continuerons à auditer fréquemment nos systèmes tiers afin de nous assurer qu'ils répondent à nos normes de sécurité et de confidentialité. De plus, nous avons :
- Informé les autorités compétentes en matière de protection des données.
- Collaboré de manière proactive avec les forces de l'ordre pour enquêter sur cette attaque.
- Révisé nos systèmes de détection des menaces et nos contrôles de sécurité pour les fournisseurs de support tiers.
Prochaines étapes
À l'avenir, nous recommandons aux utilisateurs concernés de rester vigilants lorsqu'ils reçoivent des messages ou d'autres communications qui peuvent sembler suspects. Nos agents de service sont à votre disposition pour répondre à vos questions et vous fournir une assistance supplémentaire.
Nous prenons très au sérieux notre responsabilité de protéger vos données personnelles et comprenons les désagréments et les inquiétudes que cela peut causer.
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ?
Voir aussi :
Répondre avec citation
Partager