Penyedia Layanan Discord Menolak Disalahkan atas Peretasan dan Pencurian Data

Pada awal Oktober, Discord mengungkapkan bahwa "Insiden Keamanan" terjadi yang memengaruhi sekitar 70.000 pengguna. Setelah pemberitahuan awal dipublikasikan pada 3 Oktober, Discord kemudian memperbarui halaman tersebut, dan mengarahkan kesalahan atas peretasan tersebut ke salah satu penyedia layanannya.

Rilis yang diedit tersebut menyatakan bahwa itu adalah "pelanggaran" dari penyedia layanan pihak ketiga bernama 5CA, yang menurut Discord digunakan dalam sistem dukungan pelanggan mereka.

Pada 14 Oktober, 5CA Systems merespons klaim tersebut. Mengutip laporan bahwa 5CA adalah penyebab pelanggaran, perusahaan tersebut bersikeras bahwa sistem mereka tidak terlibat.

5CA juga mengatakan bahwa mereka tidak pernah menangani ID yang dikeluarkan oleh pemerintah untuk Discord sendiri. Pelanggaran tersebut dilaporkan melibatkan kebocoran puluhan ribu foto paspor dan lisensi mengemudi, yang digunakan untuk verifikasi usia.

5CA melanjutkan dengan mengatakan bahwa sistem mereka masih aman, data klien terus dilindungi, dan bahwa mereka sedang melakukan investigasi sendiri serta bekerja sama dengan Discord dan para ahli keamanan siber dalam masalah ini.

Temuan sementara tampaknya mengungkapkan bahwa insiden tersebut terjadi di luar sistem 5CA dan bahwa perusahaan tersebut tidak diretas, klaim mereka. Namun, 5CA percaya bahwa insiden tersebut bisa disebabkan oleh "kesalahan manusia", tetapi tidak merinci apa yang sebenarnya dimaksud dengan itu.

Saling Lempar Tanggung Jawab Secara Publik

Perubahan rilis pers Discord dan pemberitahuan dari 5CA tidak melakukan apa pun untuk langsung memperbaiki situasi, tetapi lebih merupakan upaya perusahaan-perusahaan tersebut untuk mengendalikan narasi. Atau setidaknya, mencoba mengalihkan kesalahan atas topik sensitif seperti pelanggaran keamanan atau privasi ke arah lain.

Discord awalnya mengatakan dalam pengungkapannya bahwa itu disebabkan oleh penyedia layanan pihak ketiga yang terlibat dalam perawatan pelanggan. Dengan secara langsung menyebut nama perusahaan, ini membatasi kerusakan pada reputasi Discord lebih daripada pengalihan ke entitas yang tidak disebutkan dan samar-samar.

Publik tidak tahu apakah Discord akurat dengan penyalahannya, terutama karena 5CA menyangkal bahwa mereka bersalah. Publik juga tidak tahu apakah 5CA bertindak jujur tentang ketidakbersalahan mereka, dan tidak ada yang akan tahu sampai pihak ketiga yang tepercaya atau penegak hukum turun tangan dan membuat pernyataan mereka sendiri.

Ini, bagaimanapun, bukan satu-satunya perubahan yang dibuat Discord pada pemberitahuan awalnya.

Awalnya, Discord mengatakan pelanggaran tersebut memengaruhi "jumlah pengguna yang terbatas", tanpa menentukan berapa banyak yang terdampak. Baru beberapa hari kemudian, dan setelah klaim online tentang 2,1 juta gambar di X, angka 70.000 ditambahkan ke pemberitahuan tersebut.

Meskipun Discord mungkin telah mendorong 5CA ke bawah bus, dan 5CA membalas budi, akan butuh waktu sebelum publik tahu siapa yang benar-benar bersalah. Jelas, Discord tetap bertanggung jawab, bagaimanapun.

Informasi Sensitif

Apa yang diketahui tentang pelanggaran tersebut adalah bahwa itu melibatkan gambar ID yang dikeluarkan oleh pemerintah, yang diserahkan sebagai bagian dari proses banding terkait usia. Seperti banyak aplikasi lain, Discord harus mencoba mengonfirmasi usia penggunanya, untuk melindungi mereka dari konten yang dilarang sesuai dengan berbagai undang-undang baru di seluruh dunia.

Discord segera menyatakan bahwa sistem mereka tidak diserang, dan alat pihak ketiga yang digunakan untuk menangani kueri layanan pelanggan terkait usia adalah targetnya. Pesan dan aktivitas pengguna Discord tidak termasuk dalam pelanggaran tersebut.

Data yang diambil dalam pelanggaran tersebut, menurut Discord, mencakup:

• Nama pengguna
• Nama pengguna Discord
• Alamat email
• Detail kontak lain yang diberikan ke dukungan pelanggan Discord
• Jenis pembayaran
• Empat digit terakhir kartu kredit pengguna
• Riwayat pembelian terkait akun
• Pesan dengan agen dukungan pelanggan
• Alamat IP
• "Data korporat terbatas" seperti materi pelatihan.

Sejauh ini, tidak ada yang mengaku atas pelanggaran tersebut, dan data tersebut tampaknya belum dijual atau digunakan di tempat lain saat ini. Namun, detail tersebut bisa digunakan dalam peretasan dan serangan lebih lanjut.

Discord mengatakan bahwa mereka akan menghubungi pengguna yang terdampak tentang pelanggaran tersebut, termasuk data apa yang diambil.

Meskipun Discord dan seorang peneliti keamanan tidak sepakat tentang jumlah pengguna dan gambar yang terdampak, itu adalah angka yang relatif kecil dibandingkan dengan basis pengguna total Discord. Discord memiliki sekitar 689 juta pengguna terdaftar dan 259 juta pengguna aktif bulanan.

Bagi pengguna lain yang tidak secara langsung terdampak oleh pelanggaran tersebut, tidak banyak yang bisa mereka lakukan tentang situasi ini. Dalam beberapa kasus, mereka mungkin mengalami pesan berdasarkan detail yang didapat hacker dari pelanggaran, menggunakan informasi pada ID untuk meyakinkan korban potensial dalam trik kepercayaan.

Seperti biasa, pengguna internet harus terus menjaga kebersihan online yang baik, seperti mempertanyakan sumber komunikasi dan memastikan unduhan file berasal dari sumber yang sah.