O ciberataque ao Discord que foi tornado público no início de outubro revelou-se bem mais grave do que inicialmente transparecia. Segundo informações divulgadas pelo Discord Previews, uma fonte especializada em notícias sobre a plataforma, os hackers responsáveis pelo ataque garantem estar na posse de um volume impressionante de dados pessoais dos utilizadores.
O grupo alega ter conseguido extrair 1,5 terabytes de fotografias de verificação de idade, num total que ascende a 2.185.151 imagens. Como é habitual nestes casos, os dados roubados estão agora a ser utilizados numa tentativa de extorsão do Discord.
A 3 de outubro, o Discord confirmou publicamente que “uma entidade não autorizada comprometeu um dos fornecedores externos de apoio ao cliente” da plataforma. O incidente terá ocorrido no final de setembro e afetou várias categorias de informação sensível.
Entre os dados comprometidos constam nomes, usernames do Discord, endereços de email e outros contactos fornecidos ao suporte técnico. Informações de faturação limitadas também foram acedidas, incluindo tipo de pagamento, os últimos quatro dígitos de cartões de crédito e histórico de compras associado às contas. Endereços IP, conversas com agentes de apoio ao cliente e alguns dados corporativos internos, como materiais de formação e apresentações, fazem igualmente parte do lote.
A empresa garante que informações críticas como números completos de cartão de crédito, códigos CCV, mensagens privadas entre utilizadores, palavras-passe e outros dados de autenticação não foram afetados.
O que levanta questões sérias é a discrepância entre as políticas oficiais do Discord e o volume de fotografias alegadamente roubadas. Segundo as próprias normas da plataforma, as submissões de documentos de identificação deveriam ser eliminadas logo após o processo de verificação de idade estar concluído.
“O Discord e a k-ID não armazenam permanentemente documentos de identidade pessoais ou as tuas selfies de vídeo”, lê-se nas políticas da empresa. O documento explica ainda que “a imagem do teu documento de identidade e a selfie de correspondência facial são eliminadas diretamente após a confirmação do teu grupo etário, e a selfie de vídeo usada para estimativa de idade facial nunca sai do teu dispositivo”.
