Διαρροή δεδομένων στο Discord μέσω τρίτου παρόχου υποστήριξης – Επηρεάζονται έως 70.000 χρήστες

Η πλατφόρμα επικοινωνίας Discord ανακοίνωσε περιστατικό ασφαλείας που προκλήθηκε από παραβίαση σε τρίτο πάροχο υπηρεσιών υποστήριξης πελατών, εκθέτοντας δεδομένα περίπου 70.000 χρηστών που είχαν επικοινωνήσει με τις ομάδες Customer Support ή Trust & Safety. Σύμφωνα με τη σχετική ανακοίνωση, τα εσωτερικά συστήματα της Discord δεν υπέστησαν παραβίαση, ενώ τα περισσότερα δεδομένα των χρηστών παραμένουν ασφαλή.

Το περιστατικό αφορούσε εξωτερικό συνεργάτη που διαχειρίζεται αιτήματα υποστήριξης, στον οποίο εισχώρησαν κακόβουλοι παράγοντες που απέκτησαν πρόσβαση σε αρχεία επικοινωνίας και συνημμένα έγγραφα. Τα στοιχεία που ενδέχεται να έχουν εκτεθεί περιλαμβάνουν ονόματα, usernames, emails, ορισμένες πληροφορίες τιμολόγησης (όπως τύπο πληρωμής και τα τελευταία τέσσερα ψηφία καρτών), καθώς και αντίγραφα κρατικών εγγράφων ταυτοποίησης που είχαν σταλεί για επιβεβαίωση ταυτότητας.

Η Discord διευκρινίζει ότι δεν παραβιάστηκαν κωδικοί πρόσβασης, μηνύματα, συνομιλίες ή στοιχεία αυθεντικοποίησης των λογαριασμών, ούτε αποθηκευμένοι αριθμοί καρτών ή CVV. Η επίδραση περιορίζεται αποκλειστικά στα δεδομένα που υποβλήθηκαν στο πλαίσιο αιτημάτων υποστήριξης.

Με την ανίχνευση του περιστατικού, η εταιρεία ανακάλεσε άμεσα την πρόσβαση του τρίτου παρόχου στα συστήματα ticketing και ανέθεσε έρευνα σε εξειδικευμένη εταιρεία ψηφιακής εγκληματολογίας, ενώ συνεργάζεται με τις αρμόδιες αρχές για τη διερεύνηση της υπόθεσης. Παράλληλα, έχει ξεκινήσει αποστολή ειδοποιήσεων μέσω email προς τους επηρεαζόμενους χρήστες, αποκλειστικά από τη διεύθυνση noreply@discord.com, προειδοποιώντας για ενδεχόμενες απόπειρες phishing ή παραπλανητικής επικοινωνίας.

Η Discord σημειώνει ότι ενισχύει τις πολιτικές ελέγχου και εποπτείας των εξωτερικών συνεργατών της, ενώ θα πραγματοποιήσει πλήρη αξιολόγηση κινδύνου (risk assessment) για τη θωράκιση των μελλοντικών συνεργασιών. Το περιστατικό υπογραμμίζει, σύμφωνα με ειδικούς ασφαλείας, τη σημασία της διαχείρισης κινδύνων τρίτων (third-party risk management), καθώς ακόμα και οι εταιρείες με ισχυρές εσωτερικές δομές ασφάλειας μπορούν να επηρεαστούν από αδύναμους κρίκους στην εφοδιαστική τους αλυσίδα.

Η εταιρεία διαβεβαιώνει ότι παραμένει προσηλωμένη στη διαφάνεια και την προστασία των δεδομένων των χρηστών, τονίζοντας πως δεν υπάρχει ανάγκη αλλαγής κωδικού ή αναστολής λογαριασμού, εκτός εάν ο χρήστης λάβει την επίσημη ειδοποίηση. Ωστόσο, προτρέπει όλους να παρακολουθούν τις ηλεκτρονικές τους επικοινωνίες για ύποπτα μηνύματα και να επαληθεύουν πάντα την αυθεντικότητα των αποστολέων.

Η υπόθεση αποτελεί μία ακόμη υπενθύμιση ότι, στην εποχή της τεχνητής νοημοσύνης και της συνεχούς διασύνδεσης, η ασφάλεια δεν είναι μόνο τεχνικό ζήτημα, αλλά και θέμα εταιρικής αλυσίδας εμπιστοσύνης — όπου κάθε κρίκος μετρά.