Discord ออกมายืนยันว่า มีเหตุการณ์ละเมิดข้อมูลเกิดขึ้น โดยแฮกเกอร์เข้าถึงระบบของ ผู้ให้บริการฝ่ายสนับสนุน (third-party customer service provider) ซึ่งถูกใช้ในกระบวนการช่วยเหลือและจัดการปัญหาให้ผู้ใช้งาน Discord ทั้งในส่วน Customer Support และ Trust & Safety ทีมแฮกเกอร์ไม่ได้โจมตีระบบหลักของ Discord โดยตรง แต่สามารถเข้าถึงข้อมูลของผู้ใช้ที่เคยติดต่อฝ่ายสนับสนุนบางรายได้
ข้อมูลไหนบ้างที่อาจถูกเปิดเผย
Discord ระบุว่าข้อมูลที่อาจถูกเข้าถึงรวมถึง:
- ชื่อ-นามสกุล, ชื่อผู้ใช้งาน (username)
- ที่อยู่อีเมล
- หลักฐานบางส่วนของการชำระเงิน เช่น 4 หลักท้ายของเลขบัตรเครดิต (ไม่ใช่เลขเต็ม)
- ภาพเอกสารราชการ เช่น บัตรประชาชน, หนังสือเดินทาง — สำหรับผู้ใช้งานที่ได้ยื่นอุทธรณ์ระบบตรวจอายุกับ Discord
อย่างไรก็ตาม Discord ยืนยันว่ายังไม่มีหลักฐานว่า รหัสผ่านเต็ม / บัตรเครดิตเต็ม ถูกขโมยไป และระบบหลักของ Discord ไม่ได้ถูกแฮกโดยตรง
การดำเนินการตอบโต้ของ Discord
เมื่อรับทราบเหตุการณ์ Discord ได้:
- เพิกถอนสิทธิ์ (revoke access) ของผู้ให้บริการที่ถูกโจมตีจากระบบ ticketing และช่องทางที่เกี่ยวข้อง
- แจ้งผู้ใช้ที่ได้รับผลกระทบทางอีเมล — โดยในอีเมลจะแจ้งว่า “ข้อมูลเอกสารราชการของคุณอาจถูกเข้าถึงหรือไม่” ถ้าใช่ จะระบุไว้ชัดเจน
- แจ้งหน่วยงานคุ้มครองข้อมูล (data protection authorities) และประสานงานกับหน่วยงานบังคับใช้กฎหมาย
- ตรวจสอบและปรับปรุงแนวทางรักษาความปลอดภัยของระบบพร้อมผู้ให้บริการภายนอก เช่น การควบคุมสิทธิ์, การตรวจจับภัยคุกคาม, การประเมินความเสี่ยง
สิ่งที่ผู้ใช้ควรระวัง & ทำทันที
ถ้าคุณใช้งาน Discord และเคยติดต่อฝ่าย Support / Trust & Safety:
- ตรวจสอบอีเมลที่ Discord ส่งให้ — ถ้าได้รับแจ้งว่าว่าข้อมูลคุณอาจได้รับผลกระทบ
- เปลี่ยน รหัสผ่าน ของ Discord และบริการอื่น ๆ ที่ใช้รหัสเดียวกัน — ถึงแม้รหัสผ่านไม่ได้ถูกเข้าถึงโดยตรง ก็เป็นการป้องกัน
- เปิดใช้งาน 2FA (Two-Factor Authentication) ถ้ายังไม่ได้ทำ
- ระวังอีเมล / ข้อความแปลกปลอม — แฮกเกอร์อาจใช้ข้อมูลที่มีเพื่อส่ง phishing
- ถ้าคุณเคยยื่นเอกสารประจำตัวกับ Discord (เพื่ออายุตรวจสอบ) — ติดตามข่าวสารจาก Discord และเข้าใจว่าเอกสารนั้นอาจถูกเข้าถึง
ความเสี่ยง &บทเรียน
เหตุการณ์นี้แสดงให้เห็นความเสี่ยงของ การให้ผู้ให้บริการภายนอก จัดการข้อมูลสำคัญ — แม้แพลตฟอร์มหลักจะมั่นคงแค่ไหน ผู้ที่เข้าถึงช่องทางผู้ใช้งานอาจกลายเป็นจุดอ่อน
นอกจากนี้ การที่เอกสารราชการถูกเข้าถึงแม้ในจำนวนจำกัดก็ก่อให้เกิดความเสี่ยงในการปลอมแปลง / identity theft / social engineering ได้
แหล่งข้อมูล tomshardware
Leave a Reply