Discord anunciou um incidente de segurança envolvendo seu fornecedor terceirizado de atendimento ao cliente, 5CA, que pode ter exposto 70.000 fotos de identidade do governo. O fornecedor, 5CA, desde então emitiu um declaração negando que seus sistemas foram violados, criando um relato conflitante do evento. Segundo a plataforma de chat, o incidente afetou um grupo específico de usuários. Discórdia afirmou“este incidente impactou um número limitado de usuários que se comunicaram com nossas equipes de Suporte ao Cliente ou de Confiança e Segurança”. Dentro desse grupo, a empresa identificou “aproximadamente 70.000 usuários que podem ter tido fotos de identidade governamental expostas”. Esses documentos de identificação foram utilizados pelo fornecedor com a finalidade de analisar recursos relacionados à idade apresentados pelos usuários. A Discord enfatizou que o evento não foi um comprometimento direto de sua própria infraestrutura, afirmando: “isso não foi uma violação do Discord, mas sim uma violação de um provedor de serviços terceirizado, 5CA, que usamos para apoiar nossos esforços de atendimento ao cliente”. Em resposta ao anúncio do Discord, a 5CA publicou uma declaração formal em seu site apresentando um relato diferente do incidente. A empresa de suporte ao cliente declarou que “não foi hackeado”. A declaração especificava: “Ao contrário desses relatórios, podemos confirmar que nenhum dos sistemas da 5CA estava envolvido e a 5CA não administrou nenhum documento de identidade emitido pelo governo para este cliente”. A 5CA afirmou a integridade de sua infraestrutura, acrescentando: “Todas as nossas plataformas e sistemas permanecem seguros e os dados dos clientes continuam protegidos sob rígidos controles de proteção e segurança de dados”. A 5CA detalhou que está conduzindo uma investigação forense em andamento sobre o assunto. Este processo envolve uma estreita colaboração com o seu cliente, que é o Discord, bem como com consultores externos. A empresa contratou especialistas em segurança cibernética e hackers éticos para auxiliar na investigação. A declaração observou que, com base nas conclusões provisórias desta investigação, “podemos confirmar que o incidente ocorreu fora dos nossos sistemas”. A empresa também informou que atualmente “não há evidências de qualquer impacto em outros clientes, sistemas ou dados 5CA” como resultado do incidente relatado. O fornecedor ofereceu uma explicação potencial para a exposição dos dados enquanto a investigação continua.
Estamos cientes de relatos da mídia que apontam a 5CA como a causa de uma violação de dados envolvendo um de nossos clientes. Contrariamente a estes relatórios, podemos confirmar que nenhum dos sistemas da 5CA esteve envolvido e a 5CA não administrou quaisquer identificações emitidas pelo governo para este cliente. Todas as nossas plataformas e sistemas permanecem seguros e os dados dos clientes continuam protegidos sob rígidos controles de proteção e segurança de dados.
Estamos conduzindo uma investigação forense contínua sobre o assunto e colaborando estreitamente com nosso cliente, bem como com consultores externos, incluindo especialistas em segurança cibernética e hackers éticos. Com base nas descobertas provisórias, podemos confirmar que o incidente ocorreu fora dos nossos sistemas e que o 5CA não foi hackeado. Não há evidências de qualquer impacto em outros clientes, sistemas ou dados 5CA. Os controlos de acesso, a encriptação e os sistemas de monitorização estão totalmente operacionais e, como medida de precaução, estão sob revisão rigorosa.
Nossas informações preliminares sugerem que o incidente pode ter resultado de erro humano, cuja extensão ainda está sob investigação. Permanecemos em contato próximo com todas as partes relevantes e compartilharemos as descobertas verificadas assim que confirmadas.
-5CA
Após as declarações conflitantes das duas empresas, várias questões importantes permanecem sem resposta. Foi solicitado à 5CA que confirmasse se as suas operações envolviam o tratamento das fotografias de identificação do governo em questão e que fornecesse informações mais específicas sobre o “erro humano” que referiu como uma possível causa. Ao mesmo tempo, foi solicitado ao Discord que confirmasse qual empresa possuía as fotos de identificação do governo que podem ter sido acessadas durante o incidente de segurança.
