La plataforma de mensajería Discord, que utilizan más de 200 millones de personas cada mes, confirmó el viernes pasado que fue afectada por un incidente de seguridad en su servicio de soporte a usuarios, administrado por un tercero.
El proveedor externo sufrió un ataque con fines de extorsión, con características similares a los de tipo ransomware, en el que los atacantes accedieron a datos sensibles y exigieron un rescate para no divulgar la información robada.
ESET analizó el incidente que afectó a usuarios que habían interactuado con los servicios de atención al cliente (customer service) y con miembros de confianza y seguridad (trust and safety).
Entre los datos filtrados y comprometidos se encontraban documentos de identidad, datos parciales de tarjetas de crédito e historial de pagos.
Según la notificación de incidente que envió Discord a los usuarios afectados y publicó en su web, los atacantes no accedieron a la información más sensible, como direcciones físicas, datos completos de tarjetas de crédito o débito, ni datos de autenticación.
“Tampoco mensajes fuera de los que se hayan intercambiado con el centro de soporte al cliente”, detallaron.
Si bien se aseguró que el grupo de cibercriminales no tuvo acceso directo a servidores de la plataforma, desde ESET indicaron que el caso demostró cómo un servicio con estándares altos de seguridad puede verse debilitado en uno de los eslabones de su cadena de suministro.
Los servicios de terceros y sus debilidades, explicó Jake Moore, Global Security advisor de ESET, “son más difíciles de monitorear y controlar, y a menudo guardan información sensible, por lo que se están transformando en objetivos comunes para los cibercriminales”.
El 20 de septiembre se habría producido un incidente de seguridad, que estaba aún bajo investigación, y desde el 3 de octubre la plataforma comenzó a notificar a cada afectado sobre la filtración y emitió un comunicado para alertar a la comunidad en general.
Entre los datos comprometidos, según la información que publicó Discord, se encontraban:
- Nombres de usuario, correo electrónico y datos de contacto.
- Información de pagos, como los últimos 4 dígitos de tarjetas e historiales de compra.
- Direcciones IP.
- Mensajes y adjuntos que se hayan enviado al servicio de atención al cliente o consultas a miembros de trust and safety de la plataforma.
- Información corporativa como materiales de capacitación y presentaciones internas.
Según la misma alerta, dentro de los datos a los que accedieron los cibercriminales había “un pequeño número” de documentos de identidad, como licencias de conducir o pasaportes, que suelen pedirse para corroborar la edad del miembro de Discord.
Si bien no se detalló el volumen de estos documentos filtrados, la plataforma aseguró que en el correo electrónico de notificación del incidente se especificó esta información para cada usuario afectado.
“La recomendación para cualquier usuario de la plataforma que haya sido afectado o si se utiliza Discord, es prestar especial atención a cualquier comunicación que parezca provenir de Discord, ya que la posibilidad de que los datos sean usados en campañas dirigidas de phishing es más alta. Los cibercriminales pueden no solo aprovechar la información filtrada, sino también la noticia de la filtración para vehiculizar, con esa excusa o anzuelo, una campaña específica dirigida a personas usuarias de la plataforma (aunque no hayan sido objetivos de esta última filtración)”, advirtió Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Sin importar si se fue notificado o no, desde ESET aseguraron que era una buena oportunidad para repasar algunas recomendaciones que podían ser fundamentales ante incidentes como este:
- Verificar si se tiene activada la verificación en dos pasos en la cuenta. Esto da una capa más de protección ante filtraciones de credenciales de acceso.
- Revisar los movimientos de pago si se usa Discord Nitro u otros servicios pagos.
Al momento de esta publicación, y según especificó un artículo del sitio especializado BleepingComputer, el grupo de ransomware Scattered Lapsus$ Hunters (SLH) se había atribuido el ataque en un primer momento, aunque luego indicaron a ese medio que el ataque fue realizado por otro grupo que tiene contacto con SLH.
“Este tipo de incidentes en proveedores externos recuerda la importancia de fortalecer la cadena de suministro. Una política de ciberseguridad robusta debe incluir y contemplar todos los eslabones que componen la red de proveedores. También es clave que los usuarios comprendan la importancia de mantenerse informados y atentos a incidentes que puedan comprometer la seguridad y privacidad de sus datos, y recordar las medidas básicas con las que pueden enfrentarlos, o al menos estar mejor preparados para este tipo de situaciones, cada vez más frecuentes”, concluyó Gutiérrez Amaya.
