แฮกเกอร์อ้างว่าพวกเขาแทรกซึมระบบของ Discord ผ่านผู้ให้บริการฝ่ายลูกค้าภายนอก และขโมยไฟล์ภาพการยืนยันอายุผู้ใช้รวมกว่า 1.5 เทราไบต์ หรือประมาณ 2,185,151 รูปภาพ เพื่อใช้ในการเรียกค่าไถ่กับ Discord
เหตุการณ์เกิดในปลายเดือนกันยายน เมื่อแฮกเกอร์เข้าถึงข้อมูลที่ผู้ให้บริการลูกค้า (third-party customer service) เก็บไว้ ซึ่งมีรายละเอียดหลายส่วน เช่น
- ชื่อผู้ใช้, อีเมล, ชื่อจริง
- ข้อมูลบางส่วนเกี่ยวกับการชำระเงิน เช่น ประเภทบัตร, 4 หลักท้ายของบัตร, ประวัติการสั่งซื้อ
- ที่อยู่ IP, ข้อความกับทีมช่วยเหลือ
- เอกสารภายในบางส่วน เช่น สไลด์, คู่มือฝึกอบรม
Discord ชี้แจงว่าสิ่งที่ถูกขโมย ไม่นำเข้าข้อมูลเต็มของบัตรเครดิต, รหัส CVV, รหัสผ่าน หรือข้อความส่วนตัว และตัว Discord เองไม่ได้ถูกเจาะโดยตรง — ปัญหาอยู่ที่ผู้ให้บริการภายนอกเท่านั้น
อีกจุดที่น่าสงสัยคือ แฮกเกอร์อ้างว่าสามารถได้ภาพเอกสารยืนยันตัวตน (เช่น บัตรประชาชน, รูปเซลฟี่) ของผู้ใช้ ซึ่งขัดกับนโยบายของ Discord ที่ระบุว่ารูปภาพเหล่านี้จะถูกลบทันทีหลังตรวจสอบอายุเสร็จ — ทั้งรูป ID, วิดีโอเซลฟี่ หรือการจับคู่ใบหน้า จะถูกลบทันทีหลังยืนยันเสร็จสิ้น
Discord อธิบายเพิ่มเติมว่าวิดีโอเซลฟี่ที่ใช้สำหรับประเมินอายุจะ ไม่ถูกส่งขึ้นเซิร์ฟเวอร์ และภาพเอกสาร ID จะถูกลบทันทีเมื่อกระบวนการยืนยันเสร็จสิ้น
แหล่งข้อมูล tweaktown
Leave a Reply