O Discord negou formalmente as alegações feitas pelo grupo responsável pelo recente ataque de segurança à plataforma, afirmando que os números apresentados pelos hackers são completamente errados e fazem parte de uma tentativa de extorsão.
Na quarta-feira, o grupo que reivindicou responsabilidade pelo ataque alegou ter obtido acesso a mais de 1,5 terabytes de dados, incluindo mais de 2 milhões de fotografias de verificação de idade. Em declarações, Nu Wexler, porta-voz do Discord, desmentiu categoricamente estes números, afirmando que nem sequer estão próximos da realidade.
Segundo o Discord, foram identificados aproximadamente 70 mil utilizadores cujas fotografias de identificação governamental podem ter sido expostas. A diferença entre este número e os milhões alegados pelos hackers é abismal, o que a empresa interpreta como prova de que as reivindicações públicas do grupo servem apenas para pressionar a plataforma a pagar um resgate.
Na declaração oficial, o Discord esclareceu também que o incidente não foi uma violação direta dos seus sistemas, mas sim de um fornecedor externo usado para apoiar os esforços de apoio ao cliente. Esta distinção é importante porque significa que os sistemas principais da plataforma não foram comprometidos, apenas os de um parceiro terceiro.
A empresa foi enfática ao afirmar que não irá recompensar os responsáveis pelas suas ações ilegais, recusando ceder a tentativas de extorsão. Todos os utilizadores afetados globalmente foram contactados, e o Discord continua a trabalhar em estreita colaboração com as autoridades policiais, autoridades de proteção de dados e especialistas externos em segurança.
Discord hackeado: 2 milhões de fotos de utilizadores podem estar nas mãos erradas
O incidente ocorreu no final de setembro, mas só foi tornado público a 3 de outubro. Na altura, a empresa confirmou que informações como nomes de utilizador do Discord, endereços de email, endereços IP e dados de faturação “limitados” tinham sido comprometidos. As fotografias de identificação governamental usadas para revisão de recursos relacionados com idade faziam parte dos dados acedidos através do fornecedor terceiro.
A questão das fotografias de verificação de idade é particularmente sensível porque, segundo as próprias políticas do Discord, estes documentos deveriam ser eliminados após a verificação estar completa. A empresa afirma que tanto o Discord como a k-ID não armazenam permanentemente documentos de identidade pessoais ou selfies em vídeo, com as imagens a serem supostamente eliminadas diretamente após a confirmação do grupo etário.
A presença destas 70 mil fotografias no sistema do fornecedor terceiro levanta questões sobre o cumprimento destas políticas ou sobre os prazos de retenção praticados pelos parceiros externos. O Discord não esclareceu por que razão tantas imagens ainda se encontravam disponíveis para serem comprometidas.
A empresa garantiu ter protegido os sistemas afetados e terminado o trabalho com o fornecedor comprometido. Esta medida sugere que a confiança na capacidade do parceiro para manter dados sensíveis em segurança foi irremediavelmente abalada pelo incidente.
