Violation des données relatives à la vérification de l'âge : le partenaire tiers de Discord a divulgué des identifiants gouvernementaux

Notamment des documents d'identité et des numéros de carte de crédit

Une cyberattaque calculée contre un prestataire de services client tiers a révélé une vulnérabilité critique dans la sécurité opérationnelle de Discord, entraînant le vol de données utilisateur à partir de tickets d'assistance. Cet incident, revendiqué par le groupe d'extorsion « Scattered Lapsus$ Hunters », ne repose pas sur une exploitation technique de l'infrastructure centrale de Discord, mais sur la compromission stratégique d'un maillon faible de sa chaîne d'approvisionnement.

Il y a 2 ans, un pirate informatique a mis en vente sur le Dark Web les données personnelles de 760 000 utilisateurs du service Discord.io. Le site avait fermé ses portes mais a assuré qu'au pire, seuls des éléments potentiellement sensibles ont été dérobés. Précision importante : Discord.io n'est pas affilié à Discord. En revanche, les noms d'utilisateur et mots de passe utilisés sur l'un sont souvent les mêmes que sur l'autre. Les tests effectués pour vérifier l'authenticité des données vendues montrent que les adresses électroniques de Discord.io sont associées à des comptes Discord. L'incident questionnait sur la sécurité du site Discord.

Récemment, une cyberattaque calculée contre un prestataire de services client tiers a révélé une vulnérabilité critique dans la sécurité opérationnelle de Discord, entraînant le vol de données utilisateur à partir de tickets d'assistance. Cet incident, revendiqué par le groupe d'extorsion « Scattered Lapsus$ Hunters », ne repose pas sur une exploitation technique de l'infrastructure centrale de Discord, mais sur la compromission stratégique d'un maillon faible de sa chaîne d'approvisionnement.

La cause profonde de cette violation réside dans le risque inhérent aux relations avec les fournisseurs tiers. Les serveurs centraux de Discord, qui hébergent les messages privés et les données d'authentification, sont restés sécurisés. Les attaquants ont plutôt ciblé un fournisseur de services à la clientèle dédié ayant un accès autorisé au système de tickets d'assistance de Discord.

• Objectif : extorsion financière. Le groupe a obtenu un moyen de pression en volant un ensemble de données défini afin de faire pression sur Discord pour obtenir une rançon.
• Méthode : en compromettant le fournisseur, ils ont contourné les défenses principales de Discord, illustrant une attaque classique de la chaîne d'approvisionnement où la sécurité de l'ensemble de l'écosystème est dictée par son partenaire le moins sécurisé.

Les données volées sont une reproduction directe des informations que les utilisateurs divulguent lorsqu'ils contactent le service d'assistance. La compromission est importante non pas en raison de son ampleur parmi la base d'utilisateurs de Discord, mais en raison de la sensibilité des tickets d'assistance concernés.

L'ensemble de données principal comprend :

• Les conversations et les pièces jointes des tickets d'assistance
• Les identifiants des utilisateurs (nom d'utilisateur, e-mail) et les adresses IP
• Des données de facturation limitées (type de paiement, 4 derniers chiffres de la carte)

L'exfiltration d'un nombre limité de documents d'identité délivrés par le gouvernement (permis de conduire, passeports) soumis pour des demandes de vérification d'âge. Cela transforme l'incident d'une fuite de données standard en un risque d'usurpation d'identité très grave.

Pourquoi cette violation est-elle importante au-delà de Discord ?

Cet incident constitue une étude de cas réelle avec deux conséquences immédiates pour le secteur technologique :

• La validation de la compromission des fournisseurs comme principale tactique d'attaque. Les acteurs malveillants se concentrent de plus en plus sur les fournisseurs de logiciels et de services, qu'ils considèrent comme un moyen plus efficace de compromettre simultanément plusieurs clients. Le piratage d'un seul fournisseur peut permettre d'accéder à des dizaines d'entreprises.
• Les conséquences imprévues des obligations de vérification de l'âge. La divulgation des pièces d'identité gouvernementales est une conséquence directe de l'obligation faite aux plateformes de collecter des documents hautement sensibles pour se conformer à la réglementation. Cela crée une nouvelle cible de grande valeur pour les pirates informatiques et transfère fondamentalement le risque aux utilisateurs, ce qui peut l'emporter sur les avantages escomptés en matière de sécurité.

La stratégie de confinement de Discord a suivi le protocole...