O Discord enfrenta uma grave crise de segurança após uma falha crítica em seu sistema de suporte expor milhões de fotos de documentos de identificação de usuários. Hackers alegam ter roubado cerca de 1,5 terabytes de dados, incluindo cópias de passaportes e cartas de condução enviadas por usuários para a verificação de idade na plataforma.
O incidente, que abala a confiança dos utilizadores, não ocorreu diretamente nos servidores do Discord, mas sim através de uma falha de segurança na Zendesk, a empresa terceirizada responsável pelo serviço de suporte ao cliente da plataforma.
A Falha na Verificação de Idade
A principal preocupação reside na natureza dos dados vazados. Embora o Discord assegure que os documentos de identificação – como aqueles usados nos procedimentos de reconhecimento facial adotados em regiões como Reino Unido e Austrália – deveriam ser imediatamente apagados após a conclusão da verificação de idade, o ataque demonstrou que as imagens estavam, na verdade, armazenadas.
A falha na política de retenção de dados transformou um processo de segurança (a verificação de idade) em um vetor de risco massivo.
Além das fotos sensíveis, os invasores também tiveram acesso a outros dados pessoais de usuários que se comunicaram com o suporte, como:
- Nomes e E-mails
- Endereços IP
- Informações Parciais de Pagamento (como os quatro últimos dígitos de cartões)
- Transcrições de Conversas com o Suporte
Felizmente, a plataforma garantiu que informações mais críticas como palavras-passe, mensagens privadas e números completos de cartões de crédito não foram comprometidas, pois não estavam hospedadas no sistema terceirizado. O grupo hacker responsável pelo ataque estaria agora tentando extorquir o Discord, ameaçando divulgar publicamente as fotos roubadas caso as suas exigências não sejam atendidas.
Em resposta imediata, o Discord agiu para isolar o risco: cortou o acesso da Zendesk aos seus sistemas, iniciou uma investigação exaustiva e está cooperando com as autoridades competentes. A plataforma também afirma já ter notificado os utilizadores afetados individualmente, fornecendo detalhes específicos sobre quais dados foram expostos em cada caso.
O incidente serve como um alerta severo sobre a importância da gestão de dados de terceiros e a necessidade de que as empresas cumpram rigorosamente as suas políticas de eliminação de informações altamente sensíveis.
Descubra mais sobre Hypando
Assine para receber nossas notícias mais recentes por e-mail.