Discord sufre filtración de datos por ataque a proveedor

La plataforma de mensajería Discord, que utilizan más de 200 millones de personas cada mes, confirmó el viernes pasado que fue afectada por un incidente de seguridad en su servicio de soporte a usuarios, administrado por un tercero.

El proveedor externo sufrió un ataque con fines de extorsión, con características similares a los de tipo ransomware, en el que los atacantes accedieron a datos sensibles y exigieron un rescate para no divulgar la información robada. ESET, compañía líder en detección proactiva de amenazas, analiza el incidente que afectó a usuarios que habían interactuado con los servicios de atención al cliente (customer service) y con miembros de confianza y seguridad (trust and safety).

Entre los datos filtrados y comprometidos se encuentran documentos de identidad, datos parciales de tarjetas de crédito e historial de pagos.

Según la notificación de incidente que envió Discord a los usuarios afectados e hizo pública en su web, los atacantes no accedieron a la información más sensible, como direcciones físicas, datos completos de tarjetas de crédito o débito, ni datos de autenticación. Tampoco mensajes fuera de los que se hayan intercambiado con el centro de soporte al cliente.

Si bien se asegura que el grupo de cibercriminales no tuvo acceso directo a servidores de la plataforma, desde ESET aseguran que el caso demuestra cómo un servicio con estándares altos de seguridad puede verse debilitado en uno de los eslabones de su cadena de suministro.

Los servicios de terceros y sus debilidades, explica Jake Moore, Global Security Advisor de ESET, son más difíciles de monitorear y controlar, y a menudo guardan información sensible, por lo que se están transformando en objetivos comunes para los cibercriminales.

El 20 de septiembre se habría producido un incidente de seguridad, que está aún bajo investigación, y desde el 3 de octubre la plataforma comenzó a notificar a cada afectado sobre la filtración y ha emitido un comunicado para alertar a la comunidad en general.

Entre los datos comprometidos, según la información que publicó Discord, se encuentran:

- Nombres de usuario, correo electrónico y datos de contacto.
- Información de pagos, como los últimos 4 dígitos de tarjetas e historiales de compra.
- Direcciones IP.

- Mensajes y adjuntos que se hayan enviado al servicio de atención al cliente, o consultas a miembros de trust and safety (confianza y seguridad) de la plataforma.

- Información corporativa como materiales de capacitación y presentaciones internas.

Según la misma alerta, dentro de los datos a los que accedieron los cibercriminales están un pequeño número de documentos de identidad, como licencias de conducir o pasaportes, que suelen pedirse para corroborar la edad del miembro de Discord. Si bien no se detalla el volumen de estos documentos filtrados, la plataforma asegura que en el correo electrónico de notificación del incidente se especifica esta información para cada usuario afectado. Es decir, si se recibe un mail notificando la filtración de los datos, será allí donde se aclarará qué datos fueron comprometidos.

Sin importar si se fue notificado o no, desde ESET aseguran que es una buena oportunidad para repasar algunas recomendaciones que pueden ser fundamentales ante incidentes como este:

Verificar si se tiene activada la verificación en dos pasos en la cuenta. Esto da una capa más de protección ante filtraciones de credenciales de acceso. Revisar los movimientos de pago si se usa Discord Nitro u otros servicios pagos.

Según especifica un artículo del sitio especializado BleepingComputer, el grupo de ransomware Scattered Lapsus$ Hunters (SLH) se había atribuido el ataque en un primer momento, aunque luego indicaron a ese medio que el ataque fue realizado por otro grupo que tiene contacto con SLH.