Discord vermoedt dat het id-bewijzen van 70.000 gebruikers heeft gelekt
Het populaire communicatieplatform Discord vermoedt dat het de identiteitsbewijzen van 70.000 gebruikers heeft gelekt die voor identiteitsverificatie waren verstrekt. Aanvallers wisten toegang te krijgen tot een externe service die het bedrijf voor de klantenservice gebruikt. Volgens VX-Underground zou het om een Zendesk-omgeving gaan. De aanvallers claimen 1,5 terabyte aan leeftijdsverificatie-gerelateerde foto's te hebben buitgemaakt. In totaal zou het om meer dan 2,1 miljoen afbeeldingen gaan.
Afgelopen weekend maakte Discord het datalek bekend, waarbij het stelde dat de id-bewijzen van een "klein aantal" gebruikers waren gestolen, maar een exact aantal werd niet genoemd. Naast foto's van identiteitsbewijzen zijn ook namen, gebruikersnamen, e-mailadressen en andere contactgegevens buitgemaakt als die aan de klantenservice zijn verstrekt. Tevens gaat het om de laatste vier cijfers van de creditcard, ip-adressen en berichten aan supportmedewerkers. De aanvallers stellen de gegevens van 5,5 miljoen unieke gebruikers in handen te hebben, maar dit is niet door Discord bevestigd.
In verschillende landen waar online leeftijdsverificatie door de autoriteiten is verplicht, is Discord een experiment gestart waarbij het gebruikmaakt van een gezichtsscan om de leeftijd te schatten. Gebruikers die het niet met deze schatting eens zijn, en daardoor bepaalde content niet kunnen bekijken, kunnen hier bezwaar tegen maken. Als onderdeel van het bezwaar stuurden deze gebruikers kopieën van hun paspoort en rijbewijs naar de klantenservice, waar ze nu zijn gestolen. Discord denkt dat het om de id-bewijzen van 70.000 mensen gaat.
Discord laat verder weten dat het bezig is om slachtoffers van het datalek te informeren. Daarnaast geeft het bedrijf aan dat het niet van plan is om het losgeld te betalen dat de aanvallers eisen. Hoe de aanvallers toegang tot de gegevens konden krijgen is niet bekendgemaakt. Ook is het totaal aantal slachtoffers onbekend.
De leeftijdsdoelgroep van discord is ongeveer tussen de 12 en 24 jaar, veel jongeren dus.
Je online gebruikersnaam op discord is veelal niet je echte naam, en je waant je veiliger daardoor.
Maar nu zijn die gebruikersnamen ineens gekoppeld aan email adressen en ID kaarten.
Al je "kattenkwaad" waarvoor je support tickets moest openen zal ook hier aan vast zitten.
Hier zit een afpersingsrisico in, waar je moet betalen of je word online zwart gemaakt bijvoorbeeld.
Maar het kan ook gebruikt worden om makkelijke doelwitten te vinden voor misbruik en die onder druk te zetten.
(Het kan nogal angst aanslaan als een wildvreemde ineens je echte naam weet en hoe oud je bent...)
Dit gaat zeker weten nog eens terug komen in het nieuws.
Die denken dus kennelijk helemaal niet na over de risico’s en over privacy.
Aan de andere kant wel lekker relaxed als je zo naïef door het leven gaat.
Zij zijn plots afgesneden van hun online vrienden, en als je even een ID moet uploaden om toegang terug te krijgen...
Je hebt niet echt veel keuze: ID opgeven of van het internet afgegooid worden.
Die denken dus kennelijk helemaal niet na over de risico’s en over privacy.
Aan de andere kant wel lekker relaxed als je zo naïef door het leven gaat.
Een heleboel mensen handelen te goeder trouw en zijn geen risk manager. Dat is ook de reden dat social engineering zo goed werkt. Dat is voor security-professionals naïef, maar voor een heleboel mensen niet. Die kunnen zich niet voorstellen dat, zoals we een paar dagen geleden op dit forum lazen, een kinderdagverblijf wordt gechanteerd, foto's van kinderen worden gepubliceerd en ouders worden gebeld om druk uit te oefenen. En dat je je daartegen digitaal moet wapenen.
De mindset dat je op het internet moet hanteren is er een van een straat vol inbrekers en idioten die jouw huis binnen willen komen en het jou zo ellendig mogelijk willen maken. Het is ook een nare manier om naar de wereld te kijken. Te goeder trouw handelen en daar negatieve consequenties van ondervinden voelt ook machteloos. Vervelend, maar online moet je iedereen behandelen als potentieel onbetrouwbaar, ook al hebben ze goede bedoelingen zoals Discord. Niet leuk, inmiddels wel hard nodig.
Wat Discord meld over de diefstal is dus van horen zeggen en je moet dus hopen dat Zendesk echt open is over wat er gestolen is.
En vergeet niet dat de verplichting om deze documenten überhaupt te verzamelen/ controleren uit de koker komt van een stel onwetende en naïef/domme politici. Net zoals chat control en de vele andere voorbeelden.
Die denken dus kennelijk helemaal niet na over de risico’s en over privacy.
Aan de andere kant wel lekker relaxed als je zo naïef door het leven gaat.
Wacht maar want politici willen dit gaan toepassen op vrijwel elke online dienst.
Dus ook jij zult straks je ID moeten prijsgeven om bijvoorbeeld bij je e-mail te kunnen of bij je cloudopslag. Laat staan social media. Dus makkelijk om te stellen dat het aan de gebruikers ligt. Ik denk dat je kritiek beter in de richting kan gaan van politici die dit soort dingen bedenken.
Die denken dus kennelijk helemaal niet na over de risico’s en over privacy.
Aan de andere kant wel lekker relaxed als je zo naïef door het leven gaat.
Zoals hierboven ook wordt benoemd is het eerder onbegrijpelijk dat het wordt afgedwongen door overheden en daarnaast dat er niet zoiets als yivi.app wordt gebruikt als je dan toch per se leeftijdsverificatie wil doen.
Die denken dus kennelijk helemaal niet na over de risico’s en over privacy.
Aan de andere kant wel lekker relaxed als je zo naïef door het leven gaat.
Wat grappig dat mensen hier niet op de hoogte zijn van bijvoorbeeld de UK Online Safety Act.
Dat is een verplichte leeftijds controle op alles wat je online doet. Discord heeft daar verder geen zeggen over, die wordt hiertoe verplicht door de overheid (Stalmer):
https://support.discord.com/hc/en-us/articles/33362401287959-What-s-Changing-for-UK-Users-Due-to-the-UK-Online-Safety-Act
Anyway, iedereen voorspelde dit al en het wordt nog veel erger. Ook hier in Europa als de lobbyisten het erdoor drukken.
Ook zie ik websites van gewone bedrijven die per se een ID-kopie vereisen (dus geen simpele IDIN-check).
En dan soms wel het ID na de check zeggen te verwijderen, maar wel zeggen eerst gegevens te noteren.
En die in hun voorwaarden zetten dat ze het met 'ondernemersgraad beveiliging' beveiligen, oftewel de standaard beveiliging onder gewone ondernemers, oftewel niet of nauwelijks extra beveiliging.
Eén van hun 50 medewerkers of leveranciers is vervolgens te klikgraag, en voilà.
Ik stel me hierbij voor dat je DigiD kan gebruiken. De API van DigiD geeft aan de digitale dienstverlener alleen terug: "Ja" of "Nee" bij een 18+ check. De digitale dienstverlener hoeft dan geen gevoelige informatie te verzamelen en kan wel betrouwbaar valideren of iemand aan een bepaalde leeftijd voldoet.
Voor een dergelijke controle heeft de digitale dienstverlener niet eens de geboortedatum nodig. Het enige dat zo'n DigiD-API geeft is Ja/Nee.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?