Discord revela que piratas informáticos han robado información de miles de usuarios
La compañía reconoce que cerca de 70.000 usuarios podrían haber visto comprometidos sus documentos de identidad
Discord, la popular plataforma de comunicación utilizada por millones de personas en todo el mundo, ha confirmado un incidente de seguridad que no afectó directamente a sus servidores, sino a un servicio externo de atención al cliente que colaboraba con la compañía. El ataque ha puesto en riesgo datos sensibles de un gran número de usuarios, entre los que se incluyen, aproximadamente, 70.000 fotografías de documentos oficiales empleados para verificar la edad.
Discord alerta de una filtración de datos tras el ataque a un proveedor externo
La compañía, en un reciente comunicado, ha querido dejar claro que no se trata de una brecha en Discord, sino en el proveedor 5CA, responsable de gestionar parte del soporte técnico. En sus declaraciones, la empresa asegura que “proteger la privacidad y la seguridad de nuestros usuarios es una prioridad absoluta”, además de dejar bien claro que se tomaron "medidas inmediatas para abordar la situación".
Según la investigación inicial, parece que los atacantes lograron acceder a "información de un número limitado de usuarios que se había puesto en contacto con Discord a través de los equipos de Atención al cliente y/o de Confianza y seguridad". Se sabe que los datos comprometidos incluyen nombres, correos electrónicos, nombres de usuario de Discord, direcciones IP, las cuatro últimas cifras de la tarjeta de crédito y mensajes intercambiados con agentes de soporte. Además, también se vieron expuestos materiales internos de formación y presentaciones corporativas.
La compañía tiene claro que el objetivo del ataque era extorsionarles económicamente. La empresa, según ha asegurado en el comunicado, reaccionó con rapidez revocando de inmediato el acceso del proveedor a su sistema de tickets y contratando a una firma especializada en informática forense para reforzar la investigación. Además, se han puesto en contacto con las autoridades competentes en materia de protección de datos y se está colaborando con las fuerzas de seguridad.
Para tranquilizar a sus usuarios, Discord ha confirmado que las contraseñas, los números completos de tarjetas de crédito, los códigos CVV y cualquier actividad dentro de la plataforma, que no hubiera sido compartida con el servicio de atención al cliente, han permanecido alejados del incidente de seguridad. Desde entonces, los usuarios afectados están siendo notificados mediante correo electrónico, desde la dirección oficial noreply@discord.com.
La compañía ha insistido en que nunca se pondrá en contacto por teléfono respecto a este incidente y recomienda desconfiar de cualquier comunicación que no provenga de sus canales habituales. Para prevenir futuros problemas, la empresa ha reforzado sus protocolos de control para proveedores externos y ha revisado sus sistemas de detección de amenazas. Además, ha lanzado un mensaje de precaución a los usuarios potencialmente afectados, aconsejándoles "que se mantengan alerta cuando reciban mensajes u otras formas de comunicación que puedan parecer sospechosos".