- Nombre, nombre de usuario de Discord, correo electrónico y otros datos de contacto proporcionados al servicio de atención al cliente de Discord.
- Tipo de pago, últimos cuatro dígitos de las tarjetas de crédito e historial de compras si están asociados a una cuenta.
- Direcciones IP.
- Mensajes del agente de atención al cliente.
- Datos corporativos limitados (materiales de formación, presentaciones internas).
- A pequeño número de imágenes de identificación gubernamental (por ejemplo, licencias de conducir o pasaportes) de usuarios que habían apelado una determinación de edad.
Los datos no incluían contraseñas, datos de autenticación, números completos de tarjetas de crédito, códigos CCV o mensajes compartidos en Discord, más allá de aquellos con atención al cliente.
Esto es completamente predecible
Si bien creo que la frase “un pequeño número” podría estar funcionando mucho aquí, el ataque es completamente predecible. Parece inevitable que una vez que los gobiernos –como la actual administración del Reino Unido– obliguen a los usuarios a compartir datos de seguridad de alto nivel simplemente para usar las redes sociales, los servicios no regulados que verifican esos documentos de identificación se convertirán en blancos atractivos para los ataques.
Esto es precisamente lo que pasó en Discord. Esa empresa recurrió a un tercero para gestionar consultas de este tipo, ese tercero fue pirateado y robado datos valiosos. Éste ni siquiera es el primer ataque de este tipo. Hace un año, un ataque contra el servicio de verificación de identidad de EE. UU. AU10TIX nombres expuestos, fechas de nacimiento, nacionalidad, números de identificación, el tipo de documentos cargados (como una licencia de conducir) e imágenes de esos documentos.