• 發布單位:TWCERT/CC
• 更新日期:2023-09-08
• 點閱次數:156

十分受全球網友歡迎的社群聊天室服務 Discord，日前開始發送 email 通知部分用戶，因該平台先前發生的駭侵事故，導致這批用戶的個人可識別資訊（personally identifiable information, PII）外洩。

該次駭侵事件發生在 2023 年 3 月 29 日，起因是負責承包 Discord 平台客戶服務工作的第三方廠商一名工作人員，疑似遭到社交攻擊，導致駭侵者取得其工作用登入資訊，並藉以取得 Discord 平台部分系統的使用權限。

駭侵者竊得的資料，包括客服系統中的支援工單佇列、用戶的 email 地址、與客服人員溝通的訊息記錄，以及支援工單中附件的檔案內容。

Discord 表示在發現系統遭到不當存取，且證實資料遭竊後，該公司立即停用遭駭人員帳號的相關權限，清查後發現約有 180 名使用者的個人機敏資料遭到竊取。

Discord 在新聞稿中指出，目前證實有一名位於美國緬因州的使用者，其個人姓名、駕駛執照、州民證號碼等資訊遭到外洩。

另外，在先前有一家第三方、非官方的 Discord 邀請服務 Discord.io，在遭到駭侵攻擊並發生大量資料外洩後停止服務；資料遭到外洩的該服務使用者據傳多達 760,000 人。

Discord.io 被竊取的使用者資訊，據傳也在一個新成立的駭侵討論區 Breached 上出售，駭侵者還公開了 4 名使用者的資訊，以佐證該批資料的真實性。遭竊的資料欄位包括使用者名稱、email 地址、帳單地址（部分使用者）、已加密的密碼 hash、對應的 Discord ID 等。

鑑於第三方服務業者人員遭社交攻擊等方式，導致平台系統遭到駭侵的案例層出不窮，建議各平台業者加強第三方業者的資安認證與人員教育訓練，並將核心系統與資料進行必要的隔離保護。