O Discord estaria sendo extorquido por hackers responsáveis por invadir um banco de dados que continha informações sensíveis de verificação de idade de mais de 2,1 milhões de usuários, os quais agora ameaçariam vazar os dados.
Em uma publicação no X de quarta-feira, o repositório de malware VX-Underground afirmou que o Discord está sendo extorquido pelos responsáveis por comprometer sua instância do Zendesk, que continha dados de usuários. As informações incluem 2.185.151 fotos usadas para seleção de idade de 2,1 milhões de pessoas, incluindo imagens de carteiras de motorista e passaportes.
“Fotos de carteiras de motorista e/ou passaportes de usuários do Discord podem ser vazadas”, afirmou o VX-Underground.
A invasão ocorreu em 20 de setembro, quando a instância do Zendesk do Discord que armazenava esses dados estava comprometida. Na sexta-feira seguinte, uma plataforma de mensagens externas ao público gamer divulgou o incidente, alegando que “o incidente afetou um número limitado de usuários”.
“Um pequeno número de imagens de identificação”
“O invasor não autorizado também obteve acesso a um pequeno número de imagens de documentos de identidade oficiais (por exemplo, carteiras de motorista e passaportes) de usuários que recorreram de uma determinação de idade”, afirmou o Discord, prometendo notificar os usuários afetados por e-mail.
Alguns usuários criticaram o fato de que esses dados foram armazenados, já que o Discord havia prometido que as informações de verificação de idade seriam “excluídas imediatamente após a confirmação do grupo etário”. Ainda assim, a origem dos dados não foi o sistema de verificação de idade em si, mas sim as fotos enviadas ao suporte quando os usuários recorriam de uma decisão feita pelo sistema automatizado de verificação.
Os riscos da verificação de idade
Muitos especialistas em cibersegurança e defensores da privacidade se opõem fortemente à exigência de envio de documentos para verificação de idade em serviços online. A razão é que, quando grandes detalhes de dados confidenciais são armazenados em servidores, eles se tornam atrativos para agentes maliciosos, como neste caso.
Alguns membros da comunidade de criptografia e criptografia defendem que existem alternativas mais seguras. No fim de agosto, a blockchain de prova de participação (proof-of-stake) de camada 1 Concordium lançou um aplicativo móvel que permite aos usuários verificar sua idade sem revelar sua identidade.
O aplicativo utiliza provas de conhecimento zero (ZK-proofs) para confirmar matematicamente que o usuário comprovou sua idade sem detalhes completos. Isso evita o acúmulo de grandes quantidades de fotos de documentos em servidores que podem ser invadidos posteriormente.
Sistemas baseados em provas ZK não precisam depender de criptomoedas. O Google Wallet, aplicativo de pagamentos e gerenciamento de cartões digitais da gigante de buscas, anunciou no fim de abril que integrou ZK-proofs para a verificação de idade.
Fontecointelegraph
