Nền tảng mạng xã hội phổ biến Discord vừa xác nhận đã xảy ra một sự cố rò rỉ dữ liệu, tuy nhiên, máy chủ của Discord không trực tiếp bị tấn công. Thay vào đó, một nhà cung cấp dịch vụ hỗ trợ khách hàng bên thứ ba bị xâm nhập, khiến tin tặc có thể truy cập vào dữ liệu người dùng Discord. Dù nguyên nhân xuất phát từ đâu, chính người dùng Discord là bên chịu ảnh hưởng trực tiếp.
Sự cố bắt nguồn từ bên thứ ba
Sự cố xảy ra vào ngày 20 tháng 9, không liên quan đến việc tấn công trực tiếp vào hạ tầng của Discord. Tin tặc đã xâm nhập vào hệ thống của đối tác hỗ trợ khách hàng, được cho là Zendesk – nền tảng dịch vụ hỗ trợ khách hàng mà Discord đang sử dụng.
Theo các báo cáo, dữ liệu bị đánh cắp bao gồm tên thật, tên người dùng Discord, địa chỉ email và các thông tin liên hệ khác do người dùng cung cấp trong quá trình hỗ trợ kỹ thuật. Cuộc tấn công này có động cơ tài chính, khi nhóm tấn công đưa ra yêu cầu tống tiền sau khi chiếm đoạt dữ liệu.
Một số trường hợp còn bị rò rỉ “thông tin thanh toán giới hạn”, như loại hình thanh toán, bốn chữ số cuối của thẻ tín dụng và lịch sử giao dịch. Ngoài ra, địa chỉ IP của khách hàng cùng nội dung trao đổi với bộ phận hỗ trợ cũng bị lộ.
Đáng chú ý hơn, một số người dùng bị rò rỉ dữ liệu đặc biệt nhạy cảm, bao gồm hình ảnh giấy tờ tùy thân do chính người dùng cung cấp để xác minh độ tuổi. Discord cho biết trong thông báo chính thức:
“Đối tượng trái phép đã truy cập được vào một số ít hình ảnh giấy tờ tùy thân (ví dụ: giấy phép lái xe, hộ chiếu) từ những người dùng gửi yêu cầu khiếu nại xác minh độ tuổi. Nếu ID của bạn có khả năng bị truy cập, chi tiết sẽ được nêu rõ trong email mà bạn nhận được.”
Tác động lan rộng từ chuỗi cung ứng kỹ thuật số
Sự cố này một lần nữa cho thấy mức độ ảnh hưởng sâu rộng khi các dịch vụ hướng đến người dùng bị tấn công gián tiếp thông qua bên thứ ba.
Discord – từ chỗ là nền tảng dành cho cộng đồng game thủ – nay đã phát triển thành nền tảng giao tiếp với hơn 200 triệu người dùng hoạt động hàng tháng, được nhiều doanh nghiệp và tổ chức sử dụng cho kênh cộng đồng và chăm sóc khách hàng.
Theo công ty quản lý rủi ro nhà cung cấp Rescana, nhóm tin tặc tự xưng là Scattered Lapsu$ Hunters (SLH) chịu trách nhiệm về vụ tấn công. BleepingComputer cũng đưa tin tương tự, song sau đó cho biết SLH đã thay đổi tuyên bố, cho rằng một nhóm khác có liên quan.
Điểm đáng lưu ý là các nhóm tấn công này thường chia sẻ kỹ thuật, công cụ và thậm chí cả thành viên, khiến việc truy vết nguồn gốc thực sự của vụ việc trở nên phức tạp.
Rescana mô tả SLH như một liên minh tấn công, kết hợp chiến thuật từ các nhóm Scattered Spider, Lapsu$ và ShinyHunters – những nhóm nổi tiếng trong việc xâm nhập vào đối tác hoặc nhà cung cấp phần mềm để đánh cắp dữ liệu. Các cuộc tấn công này chủ yếu dựa vào kỹ thuật xã hội (social engineering) thay vì sử dụng phần mềm độc hại.
Phản ứng của Discord
Discord đã công khai sự cố vào ngày 3 tháng 10, tức 13 ngày sau khi phát hiện tấn công. Công ty cho biết đã thu hồi quyền truy cập của nhà cung cấp dịch vụ bị xâm nhập, khởi động điều tra nội bộ với sự hỗ trợ của đơn vị pháp chứng kỹ thuật số, và thông báo tới các người dùng bị ảnh hưởng.
Đồng thời, Discord nhấn mạnh rằng các thông báo chính thức về sự cố chỉ được gửi từ địa chỉ email noreply@discord.com và công ty sẽ không bao giờ liên hệ trực tiếp qua điện thoại.
Cập Nhật Về Sự Cố An Ninh Liên Quan Đến Nhà Cung Cấp Dịch Vụ Hỗ Trợ Bên Thứ Ba
Tại Discord, bảo vệ quyền riêng tư và an toàn dữ liệu của người dùng luôn là ưu tiên hàng đầu. Do đó, công ty cam kết minh bạch trong việc thông báo về mọi sự kiện ảnh hưởng đến thông tin cá nhân của người dùng.
Diễn biến sự cố
Discord phát hiện một bên trái phép đã xâm nhập vào nhà cung cấp dịch vụ hỗ trợ khách hàng bên thứ ba. Đối tượng này sau đó đã truy cập được dữ liệu từ một số lượng giới hạn người dùng – những người từng liên hệ với đội ngũ Customer Support hoặc Trust & Safety của Discord.
Ngay sau khi phát hiện, Discord đã thực hiện hàng loạt biện pháp khẩn cấp, bao gồm:
-
Thu hồi quyền truy cập của nhà cung cấp vào hệ thống xử lý ticket nội bộ.
-
Khởi động điều tra nội bộ với sự hỗ trợ của đơn vị điều tra pháp chứng hàng đầu.
-
Phối hợp với cơ quan thực thi pháp luật.
-
Liên hệ trực tiếp đến người dùng bị ảnh hưởng.
Mọi người dùng bị tác động sẽ nhận thông báo từ địa chỉ noreply@discord.com. Discord khẳng định sẽ không liên hệ qua điện thoại về sự cố này.
Dữ liệu bị ảnh hưởng có thể bao gồm:
-
Họ tên, tên người dùng Discord, email và thông tin liên hệ khác do người dùng cung cấp.
-
Thông tin thanh toán giới hạn: loại hình thanh toán, bốn số cuối của thẻ tín dụng, lịch sử giao dịch.
-
Địa chỉ IP của người dùng.
-
Tin nhắn trao đổi với nhân viên hỗ trợ.
-
Một số dữ liệu nội bộ của công ty, như tài liệu đào tạo hoặc bài trình bày nội bộ.
-
Hình ảnh giấy tờ tùy thân (như hộ chiếu hoặc bằng lái xe) của người dùng gửi để xác minh độ tuổi.
Dữ liệu không bị ảnh hưởng:
-
Toàn bộ số thẻ tín dụng hoặc mã CVV.
-
Tin nhắn hoặc hoạt động trên Discord ngoài nội dung trao đổi với bộ phận hỗ trợ.
-
Mật khẩu hoặc dữ liệu xác thực.
Các biện pháp khắc phục và phòng ngừa
Discord cho biết sẽ tiếp tục rà soát, đánh giá và kiểm toán định kỳ các hệ thống của bên thứ ba để đảm bảo tuân thủ tiêu chuẩn bảo mật và quyền riêng tư. Bên cạnh đó, công ty đã:
-
Thông báo cho các cơ quan quản lý bảo vệ dữ liệu liên quan.
-
Phối hợp với lực lượng chức năng để điều tra sâu sự cố.
-
Tăng cường cơ chế giám sát mối đe dọa và quy trình kiểm soát bảo mật đối với các nhà cung cấp hỗ trợ.
Khuyến nghị cho người dùng
Discord khuyến cáo người dùng cảnh giác với các email hoặc tin nhắn đáng ngờ có thể liên quan đến sự cố này. Người dùng có thể liên hệ đội ngũ hỗ trợ chính thức của Discord để được giải đáp và hỗ trợ thêm.
Công ty khẳng định:
“Chúng tôi nhận thức rõ trách nhiệm trong việc bảo vệ dữ liệu cá nhân của bạn và hiểu rằng sự cố này có thể gây ra lo lắng hoặc bất tiện. Discord sẽ tiếp tục thực hiện mọi biện pháp cần thiết để đảm bảo an toàn thông tin cho cộng đồng người dùng của mình.”
