Depuis lundi, Discord a contacté les utilisateurs touchés par une violation de données divulguée plus tôt cette année pour leur faire savoir quelles informations d’identification personnelle (PII) ont été exposées lors de l’incident.
La faille découle d’une faille de sécurité chez un fournisseur de services tiers détectée le 29 mars, impliquant la compromission d’un compte appartenant à un agent du support client.
Cet incident a ensuite été divulgué le 12 mai par le biais de courriels envoyés aux personnes potentiellement concernées.
Les attaquants ont eu accès à la file d’attente des tickets d’assistance de l’agent, aux adresses e-mail des utilisateurs, aux messages qu’ils ont échangés avec l’assistance Discord et aux pièces jointes des tickets d’assistance.
En réponse, Discord affirme avoir rapidement réagi à la compromission du compte de support en le désactivant rapidement après avoir pris connaissance de l’incident.
Selon les lettres envoyées aux personnes concernées, seuls 180 utilisateurs ont vu leurs informations personnelles sensibles exposées lors de l’attaque.
« Discord a immédiatement pris des mesures pour remédier à l’incident. Une enquête approfondie a été menée », indique la société dans des avis de violation de données déposés auprès du bureau du procureur général du Maine.
« Le 13 juin 2023, Discord a terminé l’examen des tickets d’assistance impliqués et a déterminé qu’un ou plusieurs de ces tickets d’assistance contenaient les informations personnelles d’un résident du Maine, y compris le nom de l’individu et son permis de conduire ou son numéro de carte d’identité », a déclaré Discord. L’équipe de confidentialité l’indique dans des lettres envoyées aux utilisateurs concernés.
Discord, une plateforme de médias sociaux et de messagerie instantanée très populaire, revendique 150 millions d’utilisateurs mensuels actifs et environ 19 millions de serveurs actifs par semaine.
Dans le même ordre d’idées, un service d’invitation tiers et non officiel connu sous le nom de Discord.io a fermé ses portes la semaine dernière après une violation massive de données qui a révélé des informations appartenant à environ 760 000 membres.
La base de données Discord.io a été mise en vente sur les nouveaux forums de piratage Breached, l’acteur malveillant partageant quatre enregistrements d’utilisateurs comme preuve de l’authenticité des informations volées.
Les données sensibles compromises lors de la violation incluent les noms d’utilisateur, les adresses e-mail, les adresses de facturation (d’un nombre limité d’individus) des membres de Discord.io, les mots de passe salés et hachés (affectant un nombre limité d’individus) et leurs identifiants Discord respectifs.
« Ces informations ne sont pas privées et peuvent être obtenues par toute personne partageant un serveur avec vous. Leur inclusion dans la violation signifie cependant que d’autres personnes pourraient être en mesure de lier votre compte Discord à une adresse e-mail donnée », a expliqué Discord.io. à l’époque.