A plataforma de mensagens Discord, utilizada por mais de 200 milhões de pessoas todos os meses, confirmou na última semana que foi afetada por um incidente de segurança em seu serviço de suporte ao usuário, administrado por uma empresa terceirizada.

O fornecedor externo sofreu um ataque com fins de extorsão, com características semelhantes às de um ransomware, no qual os invasores tiveram acesso a dados sensíveis e exigiram um resgate para não divulgar as informações roubadas.

O incidente afetou usuários que haviam interagido com os serviços de atendimento ao cliente e com os membros das equipes de segurança (trust and safety). Entre os dados vazados e comprometidos estão documentos de identidade, informações parciais de cartões de crédito e histórico de pagamentos.

De acordo com a notificação de incidente enviada pelo Discord aos usuários afetados e publicada em seu site, os invasores não tiveram acesso a informações mais sensíveis, como endereços físicos, dados completos de cartões de crédito ou débito, nem dados de autenticação. "Também não foram comprometidas mensagens fora daquelas trocadas com o centro de suporte ao cliente", detalhou a empresa.

discord-filtracion-datos-proveedor-externo1
Comunicado oficial no site do Discord. Fonte: Discord.

O papel dos fornecedores externos na cibersegurança

Embora o grupo de cibercriminosos não tenha tido acesso direto aos servidores da plataforma, o caso demonstra como um serviço com altos padrões de segurança pode ser enfraquecido por um dos elos de sua cadeia de suprimentos.

Os serviços de terceiros e suas fragilidades, explica Jake Moore, Global Security Advisor da ESET, "são mais difíceis de monitorar e controlar e, com frequência, armazenam informações sensíveis, o que os torna alvos cada vez mais comuns para os cibercriminosos".

O que aconteceu?

No dia 20 de setembro, teria ocorrido um incidente de segurança digital, que ainda está sob investigação. A partir de 3 de outubro, a plataforma começou a notificar cada usuário afetado sobre o vazamento de dados e emitiu um comunicado para alertar a comunidade em geral.

Quais dados foram vazados?

Entre os dados comprometidos, de acordo com as informações publicadas pelo Discord, estão:

  • Nomes de usuário, e-mail e dados de contato;
  • Informações de pagamento, como os últimos quatro dígitos dos cartões e históricos de compras;
  • Endereços IP;
  • Mensagens e anexos enviados ao serviço de atendimento ao cliente, ou consultas a membros das equipes de segurança (trust and safety) da plataforma;
  • Informações corporativas, como materiais de treinamento e apresentações internas.

De acordo com o mesmo alerta, entre os dados acessados pelos cibercriminosos estão "um pequeno número" de documentos de identidade, como carteiras de motorista ou passaportes, normalmente solicitados para verificar a idade dos membros do Discord.

Embora o volume exato desses documentos não tenha sido divulgado, a plataforma informa que o e-mail de notificação do incidente traz detalhes específicos para cada usuário afetado. Ou seja, caso você receba a mensagem comunicando o vazamento, será nela que constarão os dados que foram comprometidos.

O que fazer se você foi afetado ou utiliza o Discord

A recomendação para todos os usuários da plataforma é ficar especialmente atentos a qualquer comunicação que pareça proveniente do Discord, pois há maior risco de que os dados sejam usados em campanhas de phishing direcionadas.

Os cibercriminosos podem não apenas explorar as informações vazadas, mas também utilizar a notícia do vazamento como pretexto ou "isca" para conduzir campanhas específicas contra usuários da plataforma, mesmo aqueles que não tenham sido diretamente afetados pelo incidente.

Independentemente de você ter sido notificado ou não, este é um bom momento para revisar algumas recomendações importantes em casos de incidentes como este:

  • Verifique se a autenticação em dois fatores (2FA) está ativada em sua conta. Isso adiciona uma camada extra de proteção contra o vazamento de credenciais de acesso.
  • Revise seus movimentos de pagamento caso utilize o Discord Nitro ou outros serviços pagos.

O que se sabe sobre a atribuição

Até o momento desta publicação, e conforme informa um artigo do site BleepingComputer, o grupo de ransomware Scattered Lapsus$ Hunters (SLH) inicialmente assumiu a autoria do ataque. No entanto, posteriormente, eles informaram à mesma publicação que o ataque teria sido realizado por outro grupo que mantém contato com o SLH.

Reflexão

Incidentes como este envolvendo fornecedores externos reforçam a importância de fortalecer toda a cadeia de suprimentos. Uma política de cibersegurança robusta deve abranger todos os elos que compõem a rede de fornecedores.

Também é fundamental que os usuários compreendam a importância de se manter informados e atentos a situações que possam comprometer a segurança e a privacidade de seus dados, além de relembrar as medidas básicas de proteção para lidar, ou ao menos estar melhor preparados, diante de incidentes cada vez mais frequentes.