駭客聲稱從Discord的IT服務臺竊取550萬用戶資料、210萬張身分證件的照片

在上個星期，傳出即時通訊平臺Discord第三方客服供應商遭到未經授權人士入侵的事故，影響曾和Discord客戶支援團隊、信任與安全團隊聯繫的部分用戶，駭客組織Scattered Lapsus$ Hunters一度聲稱是他們所為，並表示是入侵IT服務臺系統Zendesk得逞。現在駭客進一步透露消息，聲稱他們竊得大批資料，意圖向Discord施壓。

根據資安新聞網站Bleeping Computer最新發布的報導，駭客聲稱在這起事故取得1.6 TB資料，其中有1.5 TB是客服工單的附件檔案，另有超過100 GB是工單的文字記錄。這批資料約有840萬張工單、影響550萬名使用者，其中58萬名用戶曝露付款資料。對於有多少身分證件的照片外流，這些駭客起初表示不清楚，僅表示有52.1萬張工單與驗證年齡有關，但後來聲稱可能有210萬張照片。

對此，Discord也在10月8日更新原本資安公告的內容，重申該公司自己的系統並未遭到入侵，駭客攻擊第三方服務的目的，就是向他們勒索。該公司也透露，已確認約有7萬名用戶的身分證件照片可能外流。

這些駭客聲稱在9月20日取得Discord的Zendesk平臺58小時存取權限，並強調取得了外流的帳密資料而得逞，這種帳號是提供給Discord的業務流程委外供應商（BPO）使用。而且，他們也表明並未利用Zendesk系統的漏洞，或是事先入侵Zendesk。

但資料到底是如何到手的？他們向該新聞網站提供部分竊得資料，證明確有其事，並宣稱用戶的付款資訊能透過Zendesk與Discord內部系統進行搜尋，藉由API查詢Discord內部的資料庫，就能從Zendesk取得相關結果。

駭客從9月25日至10月2日向Discord勒索，起初開價500萬美元，後來降為350萬美元。在Discord發布公告並終止談判後，駭客揚言要公開竊得資料。