Discorde a admis il y a quelques jours qu'une faille chez l'un de ses prestataires de support client aurait pu compromettre les données de certains utilisateurs. La plateforme précise désormais qu'environ 70 000 utilisateurs auraient pu voir leurs documents officiels exposés, y compris des photos de pièces d'identité gouvernementales utilisées pour vérifier leur âge. Cette clarification intervient après que les premières estimations annonçaient plus de 2 millions d'images récupérées, ce que Discord décrit comme« inexacte ». Discord affirme avoir alerté les utilisateurs concernés, coupé tous liens avec le fournisseur de services compromis et renforcé ses défenses.
Données importantes volées
En plus des images d'identité, les pirates ont potentiellement accédé à des informations telles que le nom complet, le pseudo Discord, l'adresse e-mail, ainsi que les détails de facturation (type de paiement, quatre derniers chiffres de la carte), selon les données envoyées à Discord par ses utilisateurs. Les adresses IP, ainsi que les messages échangés avec le support client, peuvent également avoir été inclus dans le lot d'éléments exposés. Discord insiste : aucun mot de passe complet, aucun numéro de carte de crédit complet ou les données globales du serveur n'ont été compromis.
Ce scénario met en évidence les risques liés aux prestataires externes dans l’écosystème numérique. Si l'infrastructure principale de Discord n'a pas été directement visée, ce type d'attaque met en évidence qu'une chaîne est souvent aussi faible que son maillon le plus faible (un prestataire de services en l'occurrence). Si la plateforme promet transparence et collaboration avec les autorités en charge du dossier, les utilisateurs devront rester vigilants suite à cet incident, car la récupération des identifiants et des documents d'identité pourrait faire craindre de futures tentatives de chantage.
