Para peretas berhasil mencuri data pengguna dari platform komunikasi populer **Discord** melalui penyedia layanan dukungan pelanggan pihak ketiga. Foto identitas resmi pemerintah termasuk di antara informasi yang dicuri. Discord mengumumkan tentang pelanggaran ini pada tanggal 3 Oktober dan memperbarui postingannya pada hari Rabu.
Dalam pernyataannya, Discord menyatakan bahwa sekitar 70.000 pengguna kemungkinan memiliki foto KTP mereka yang terekspos. Foto-foto identitas tersebut dibagikan dengan vendor pihak ketiga untuk membantu meninjau banding terkait usia. Pengguna harus berusia minimal 13 tahun untuk menggunakan situs Discord di AS dan Kanada, sementara negara lain memiliki batas usia yang berbeda. Konten terbatas usia tertentu hanya tersedia bagi mereka yang berusia 18 tahun ke atas.
“Tidak ada pesan atau aktivitas yang diakses selain dari apa yang mungkin dibahas pengguna dengan dukungan pelanggan atau agen kepercayaan & keselamatan,” bunyi pernyataan itu. “Kami segera mencabut akses penyedia layanan dukungan ke sistem tiket kami dan terus menyelidiki masalah ini.”
Sementara Discord secara khusus menyebut angka 70.000 pengguna yang terdampak, **Yahoo News** mengutip laporan dari kelompok penelitian keamanan siber VX-Underground yang menyatakan bahwa “para penyerang mengklaim telah mengekstrak 1,5 terabyte data, termasuk sekitar 2.185.151 gambar yang terkait dengan banding verifikasi usia.”
Seorang perwakilan Discord tidak segera menanggapi permintaan untuk komentar lebih lanjut.
Tuntutan Tebusan
Menjadi semakin umum bagi pelaku kejahatan yang melanggar situs web untuk meminta pembayaran agar informasi yang mereka curi tetap dirahasiakan, dan Discord mengatakan hal ini terjadi di sini.
“Pihak yang tidak berwenang menyasar layanan dukungan pelanggan pihak ketiga kami untuk mengakses data pengguna, dengan tujuan memeras tebusan finansial dari Discord,” ungkap pernyataan tersebut.
Pernyataan itu menyebutkan bahwa penegak hukum terlibat dalam kasus ini.
Informasi Apa yang Diambil?
Pernyataan Discord menyebutkan bahwa informasi yang dicuri mungkin mencakup nama, nama pengguna Discord, alamat email, dan detail kontak lain yang mungkin diberikan pengguna kepada dukungan pelanggan. Pesan yang dibagikan dengan dukungan pelanggan, termasuk gambar KTP tersebut, juga dicuri.
Discord menyatakan bahwa “informasi penagihan terbatas,” termasuk empat digit terakhir nomor kartu kredit, dicuri, tetapi bukan nomor kartu kredit lengkap atau kode CVV. Situs itu juga mengatakan bahwa kata sandi dan data otentikasi tidak dicuri.
Nampaknya kemungkinan pencurian semacam ini hanya akan tumbuh seiring lebih banyak situs yang harus mematuhi undang-undang verifikasi usia di beberapa negara bagian AS dan negara lain yang sedang memperketat verifikasi usia pengguna untuk menggunakan suatu situs. Identitas pemerintah yang diberikan mungkin cukup bagi situs untuk memberi orang hak melihat konten tertentu, tetapi begitu ID tersebut berada di basis data situs, mereka dapat dicuri.
Apa yang Harus Saya Lakukan Sekarang?
Pesan tanggal 8 Oktober menyatakan bahwa Discord “sedang dalam proses menghubungi pengguna yang terdampak,” yang harus memeriksa pesan dari [email protected], dan bahwa situs tersebut tidak akan menggunakan telepon untuk menjangkau pengguna.
Tampaknya tidak banyak yang dapat dilakukan pengguna Discord saat ini kecuali mewaspadai pesan atau panggilan mencurigakan yang dapat menggunakan informasi yang dicuri untuk mencoba menipu atau memancing pengguna. Aktifkan autentikasi dua faktor jika Anda belum memilikinya.
Reaksi Pengguna
Beberapa pengguna Reddit mengatakan Discord tidak pernah menanggapi banding verifikasi usia mereka, meskipun mereka kemudian diberitahu bahwa informasi mereka telah disusupi.
“Discord mengabaikan tiket verifikasi ID saya selama 2 minggu hanya untuk memberi tahu saya bahwa tiket yang sama terlibat dalam pelanggaran data,” tulis seorang pengguna Reddit. “Saya sebenarnya senang karena tidak memberikannya kepada mereka, akses ke separuh server yang saya ikuti diblokir, tapi itu lebih baik daripada memiliki ID saya bocor, saya kira.”
Orang lain mengatakan hal serupa terjadi pada mereka juga.
“Baru saja mendapat email yang sama,” tulis seseorang di Reddit. “Saya mengajukan banding atas penentuan usia saya pada Agustus. Mendapat beberapa balasan email, tetapi singkat cerita, sistem di ujung lain tidak pernah menerima ID saya. Hampir 2 bulan kemudian, saya diberi tahu bahwa data saya bocor di internet karena manajemen Discord tidak memeriksa prioritasnya dengan benar.”