Discord Confirma Vazamento: Sua Conversa com o Suporte Virou Loot Raro

O incidente de segurança atingiu um sistema terceirizado de atendimento; saiba quais informações foram expostas e como se proteger.

Amigo gamer, senta que a notícia de hoje é daquelas que a gente não queria dar. O Discord, a nossa casa digital, o lugar onde a gente combina as raids, solta o meme e, de vez em quando, desabafa sobre a vida, foi atingido por um incidente de segurança que pode ter exposto dados pessoais. Receber um e-mail com o título “Informações importantes sobre seus dados pessoais” de uma plataforma que você usa todo dia já é o suficiente para te fazer suar frio. É o equivalente digital a ver a barra de vida do seu personagem cair para zero bem no meio da boss fight.

A boa notícia é que o estrago foi contido. A má notícia é que a exposição aconteceu através de um ponto cego, uma falha que a gente sempre esquece de checar: um sistema de serviço terceirizado usado pelas equipes de Suporte ao Cliente e Trust & Safety do Discord. Pense assim: o castelo principal (o Discord) está seguro, mas o depósito onde a equipe de manutenção guarda as ferramentas (o sistema de suporte de terceiros) foi invadido. E, infelizmente, esse depósito tinha informações sensíveis.

O incidente de segurança ocorreu no dia 20 de setembro. A empresa agiu rápido, mas a invasão já tinha permitido que uma parte não autorizada tivesse acesso limitado a algumas das suas informações. E aqui, a gente precisa separar o loot que foi roubado do que ficou intacto.

Olá,
Estamos entrando em contato com você devido a um incidente de segurança recente ocorrido em 20 de setembro, envolvendo seus dados pessoais. Especificamente, uma pessoa não autorizada obteve acesso limitado a um sistema de atendimento ao cliente de terceiros usado pelo Discord. Confirmamos que alguns dos seus dados pessoais associados ao seu contato com nossas equipes de Suporte ao Cliente ou Confiança e Segurança foram expostos neste incidente.
Isso pode incluir:
Seu nome, nome de usuário do Discord, e-mail e outros detalhes de contato, se você os forneceu
Informações de pagamento limitadas, incluindo tipo de pagamento, últimos quatro dígitos do seu cartão de crédito e histórico de compras, se associado à sua conta
Endereços IP
Mensagens e anexos enviados aos nossos agentes de Suporte ao Cliente ou Confiança e Segurança
O incidente não incluiu:
Números completos de cartão de crédito ou códigos CCV
Seu endereço físico
Suas mensagens ou atividades no Discord além do que você discutiu com o suporte ao cliente ou agentes de confiança e segurança
Sua senha do Discord ou dados de autenticação
Os números de tickets impactados para sua conta foram: 47591262. Você pode usar esses números de tickets para pesquisar as exchanges relevantes em sua conta de e-mail.

Assim que tomamos conhecimento do incidente, seguimos nossos procedimentos de resposta a incidentes e tomamos medidas imediatas para resolver a situação, incluindo a revogação do acesso de terceiros do provedor de suporte ao cliente ao nosso sistema de tickets, o início de uma investigação interna e a contratação de uma empresa líder em TI forense para apoiar nossos esforços de investigação e remediação. Também notificamos as autoridades policiais sobre o incidente.

O Discord tomou e continuará tomando as medidas adequadas em resposta a esta situação. Revisamos nossos sistemas de detecção de ameaças e controles de segurança para provedores de suporte terceirizados no Discord. Como padrão, continuaremos a auditar frequentemente nossos sistemas terceirizados para garantir que atendam aos nossos elevados padrões de segurança.

Pensando no futuro, recomendamos que você fique atento ao receber mensagens ou outras comunicações que possam parecer suspeitas. Temos agentes de atendimento à disposição para responder a perguntas e fornecer suporte adicional. Você pode entrar em contato conosco através deste formulário: http://dis.gd/support
Levamos a sério nossa responsabilidade de proteger seus dados pessoais e entendemos a inconveniência e a preocupação que isso pode causar.

A Extensão do Loot Roubado: O Que Foi Exposto

A exposição de dados é sempre um motivo de preocupação, especialmente para a nossa comunidade, que valoriza tanto a privacidade. O Discord confirmou que as seguintes categorias de dados associadas ao seu contato com o Suporte ao Cliente ou Trust & Safety foram expostas neste incidente:

1. Detalhes de Contato e Perfil: Inclui o seu nome, Discord username, email e outros detalhes de contato que você forneceu durante a comunicação com as equipes de suporte. Isso é básico, mas a porta de entrada para phishing.
2. Informações de Pagamento Limitadas: Atenção redobrada aqui. Foram expostas informações de pagamento limitadas, incluindo o tipo de pagamento, os últimos quatro dígitos do seu cartão de crédito e o histórico de compras associado à sua conta. Se você já assinou o Nitro ou comprou boosts, esse dado estava no sistema terceirizado.
3. Localização e Comunicação: Seus endereços IP foram expostos. E, o mais crucial para quem busca ajuda ou faz denúncias, as mensagens e anexos enviados aos agentes de Suporte ao Cliente ou Trust & Safety. É nesse ponto que a coisa fica séria, pois muitas vezes essas conversas contêm detalhes muito mais íntimos e complexos sobre a sua conta, identidade ou denúncias que você fez no passado.

Se você está se perguntando se foi afetado, a empresa disponibilizou o número do ticket impactado na sua conta: o número afetado foi o 47591262. Se esse número constar no seu e-mail, é hora de agir.

O Loot Que Ficou no Cofre: Sem Pânico Total

Apesar do susto, é fundamental respirar aliviado em alguns pontos. O Discord foi claro ao detalhar o que não foi incluído neste incidente. O vilão não conseguiu o mapa do tesouro completo:

• Nada de Cartão de Crédito Completo: Os números completos do cartão de crédito ou códigos CCV não foram expostos. O que minimiza o risco de fraude financeira direta.
• Seu Endereço e Senha Estão Seguros: Seu endereço físico, senha do Discord ou dados de autenticação não foram comprometidos. O que significa que a sua conta em si está segura, e o hacker não pode entrar e bagunçar a sua vida digital.
• Mensagens Pessoais Íntimas: O incidente não incluiu suas mensagens ou atividades no Discord além do que você discutiu com o suporte ou agentes de confiança e segurança. Suas conversas privadas em servidores ou DMs com os seus amigos não foram comprometidas.

Ação e Responsabilidade: O Resgate da Terceirizada

O problema com sistemas terceirizados é um fantasma que assombra toda a indústria de tecnologia. Empresas gigantes confiam em softwares externos para lidar com o volume insano de suporte, e quando a segurança desse terceiro falha, a gente é quem paga o pato.

O Discord agiu de forma decisiva. A empresa seguiu seus procedimentos de resposta a incidentes e tomou medidas imediatas:

1. Revogação de Acesso: O acesso do provedor de suporte terceirizado ao sistema de ticketing foi imediatamente revogado.
2. Investigação Pesada: Foi lançada uma investigação interna e uma empresa líder em forense de TI foi contratada para apoiar os esforços de investigação e remediação.
3. Lei e Ordem: O incidente foi notificado às autoridades policiais.

A empresa garantiu que revisou seus sistemas de detecção de ameaças e controles de segurança para provedores de suporte terceirizados e continuará a auditar seus sistemas terceirizados frequentemente para garantir que atendam aos seus altos padrões de segurança.

O Alerta do Mestre: Como Evitar o Próximo Ataque

O vazamento do Discord serve como um lembrete importante para toda a comunidade gamer sobre a fragilidade da nossa vida digital. Nossos usernames, e-mails e a ponta do nosso cartão de crédito são dados que hackers usam para tentativas de phishing e engenharia social.

Nossa recomendação é clara: você precisa aumentar o seu skill de segurança.

• Fique Atento: A principal recomendação da empresa é que você permaneça alerta ao receber mensagens ou outras comunicações que possam parecer suspeitas. Phishing é a arte de te enganar. Não clique em links, não forneça senhas e desconfie de qualquer e-mail que peça informações confidenciais.
• Autenticação de Dois Fatores (2FA): Se você ainda não usa 2FA em todas as suas contas (e-mail, Discord, Steam, Battle.net, etc.), você está jogando no hard mode desnecessariamente. O 2FA é a sua armadura mais forte, garantindo que, mesmo que o hacker tenha sua senha, ele não consiga entrar.
• Senhas Únicas e Fortes: Nunca, jamais, use a mesma senha para o seu e-mail e para o seu Discord. Use um gerenciador de senhas (como o Google Password Manager ou LastPass) e garanta que suas senhas sejam um caos de letras, números e símbolos.

Se você tiver dúvidas sobre o ocorrido, o Discord informou que possui agentes de serviço à disposição para responder a perguntas e fornecer suporte adicional. O contato deve ser feito através do formulário de suporte oficial da empresa.

Apesar do inconveniente, a transparência do Discord ao comunicar o incidente é um ponto positivo, mas a responsabilidade de proteger o seu inventário digital é, em última análise, sua.