侵害の概要と背景

Discordのサードパーティ製顧客サービスプロバイダーが「不正な第三者」によって侵害されたことが明らかになりました。この不正アクセスは、Discord本体への直接的な侵入ではなく、外部のサービスプロバイダーを通じて行われたと報告されています。不正な第三者は、Discordから金銭的な脅迫を目的としていたとされています。

流出した情報とその範囲

今回のデータ侵害により影響を受けたのは、Discordの顧客サポートチームやTrust & Safetyチームに連絡した限定された数のユーザーです。流出した可能性のあるデータには、氏名、ユーザー名、メールアドレス、そしてクレジットカード番号の下4桁が含まれます。特に懸念されるのは、年齢確認のために提出された少数の政府発行IDの画像もアクセスされた点です。しかし、Discordは、クレジットカード番号の全桁やパスワードは今回の侵害によって流出していないと強調しています。

Discordの対応と今後の措置

Discordは、侵害が発覚した後、直ちに当該サポートプロバイダーのDiscordチケットシステムへのアクセス権を剥奪しました。また、データ保護当局に通知し、法執行機関と協力して調査を進めています。同社は、サードパーティサポートプロバイダーに対する脅威検出システムとセキュリティ管理の見直しも実施したと述べています。影響を受けたユーザーには、現在メールで個別に通知が行われており、政府発行IDがアクセスされた場合はその旨も明確に伝えられるとのことです。

元記事: https://www.theverge.com/news/792032/discord-customer-service-data-breach-hack