轉載「Discord 通知用戶資料因駭侵攻擊而外洩」訊息

【社群媒體資安近況】

Discord 通知用戶資料因駭侵攻擊而外洩

十分受全球網友歡迎的社群聊天室服務 Discord，日前開始發送 email 通知部分用戶，因該平台先前發生的駭侵事故，導致這批用戶的個人可識別資訊（personally identifiable information, PII）外洩。

該次駭侵事件發生在 2023 年 3 月 29 日，起因是負責承包 Discord 平台客戶服務工作的第三方廠商一名工作人員，疑似遭到社交攻擊，導致駭侵者取得其工作用登入資訊，並藉以取得 Discord 平台部分系統的使用權限。

Discord.io 被竊取的使用者資訊，據傳也在一個新成立的駭侵討論區 Breached 上出售，駭侵者還公開了 4 名使用者的資訊，以佐證該批資料的真實性。遭竊的資料欄位包括使用者名稱、email 地址、帳單地址（部分使用者）、已加密的密碼 hash、對應的 Discord ID 等。

鑑於第三方服務業者人員遭社交攻擊等方式，導致平台系統遭到駭侵的案例層出不窮，建議各平台業者加強第三方業者的資安認證與人員教育訓練，並將核心系統與資料進行必要的隔離保護。

詳細資訊請參考：https://www.twcert.org.tw/tw/cp-104-7340-b1bda-1.html