70.000 ID-bilder kan ha blitt lekket

Om lag 70.000 brukere av chatteplattformen Discord kan ha fått personopplysninger og bilder av sine offentlige ID-kort på avveie. Årsaken er et hackerangrep mot et eksternt selskap som håndterte aldersverifisering for Discord.

Ifølge selskapet kan navn, e-postadresser, IP-adresser og meldinger mellom brukere og Discords kundestøtte også ha blitt stjålet. Ingen passord eller fullstendige kortopplysninger skal være tatt.

Les også: Norske kunder kan være rammet av datainnbrudd

Angrepet ble kjent forrige uke, men omfanget av lekkede ID-bilder ble først offentliggjort onsdag. Den britiske datatilsynsmyndigheten bekrefter at de har mottatt rapport fra Discord og vurderer saken.

Rammet tjeneste for alderskontroll

De berørte opplysningene stammer fra brukere som hadde sendt inn bilde av sitt ID-kort for å bevise alder, blant annet etter at kontoer hadde blitt sperret. I flere land, som Storbritannia, er sosiale medieselskaper pålagt å gjennomføre slike alderskontroller for å beskytte mindreårige på nett. Det skriver The Guardian.

Siden juli har det vært et lovkrav i Storbritannia gjennom den nye Online Safety Act. Eksperter på datasikkerhet har advart mot at selskaper som tilbyr slike verifikasjonstjenester, ofte sitter på store mengder sensitiv informasjon som kan være attraktive mål for hackere.

Forsøk på utpressing

Discord opplyser at en uautorisert tredjepart klarte å bryte seg inn hos en av deres eksterne kundeserviceleverandører. Gjennom dette fikk angriperen tilgang til data fra et begrenset antall brukere som hadde hatt kontakt med Discords støtte- eller sikkerhetsteam.

Selskapet har identifisert rundt 70.000 brukere globalt som kan ha fått bilde av sitt ID-kort kompromittert. Hackeren skal også ha forsøkt å presse selskapet for penger.

Brukere som måtte bevise alderen sin ble bedt om å laste opp et bilde av ID-kortet sitt sammen med brukernavnet på Discord.

Eksperter advarer

Nathan Webb, sikkerhetskonsulent i det britiske selskapet Acumen Cyber, beskriver hendelsen som alvorlig. Han understreker at selv om en bedrift setter bort oppgaver til underleverandører, har den fortsatt ansvar for å sikre at personopplysninger behandles riktig.

Han peker på at det er viktig at selskaper ikke ser outsourcing som en måte å unngå ansvar på, men sikrer at databehandlingen skjer i tråd med gjeldende krav til beskyttelse og lagring.

Økende bekymring for personvern

Hendelsen føyer seg inn i en rekke datainnbrudd de siste årene der eksterne leverandører har blitt angrepet for å få tak i informasjon om brukere av store digitale plattformer. Eksperter mener det viser hvor sårbar infrastrukturen rundt alderskontroller og identitetsverifisering er, særlig når flere land innfører strengere krav til dokumentert alder på nett.

Discord har ikke opplyst om noen brukere i Norden er berørt, men etterforskningen pågår i samarbeid med internasjonale myndigheter.

Les også: HBO Max setter opp prisene