Discord, platform üzerinden kimlik doğrulaması için talep ettiği 70.000 kadar kullanıcının devlet tarafından verilmiş kimlik bilgilerinin (sürücü belgesi veya benzeri) görüntülerinin hackerlar tarafından çalındığını duyurdu. Bu durum, kimlik hırsızlığı riskini ciddi şekilde artırıyor.
Artık birçok çevrimiçi platformda olduğu gibi Discord da, kullanıcıların belirlenen yaş sınırlarını karşıladığını kanıtlamak için kimlik bilgilerinin taranmış veya fotoğrafını yüklemelerini talep edebiliyor. Nadiren de olsa, yüzünü gösteren bir selfie ile yaş doğrulaması yapılmasına da izin veriliyor. Bu tür talepler genellikle, kullanıcılar tarafından yaş sınırının altında olduğu bildirilen kişiler için geçerli oluyor.
Kimlik Hırsızlığı İçin Ciddi Bir Risk
Çarşamba günü yapılan açıklamada, Discord'un güvendiği üçüncü taraf bir müşteri hizmetleri sağlayıcısındaki güvenlik açığı nedeniyle yaklaşık 70.000 kullanıcının devlet kimlik bilgilerinin görüntülerinin "ifşa olmuş olabileceği" belirtildi. Etkilenen kullanıcılar, daha önce Discord'un Müşteri Desteği veya Güvenlik ve Uyum ekipleriyle iletişime geçmiş ve yaşla ilgili itiraz süreçlerinde kimlik bilgilerini sunmuşlardı.
Şirketten yapılan açıklamada, "Yakın zamanda, yetkisiz bir tarafın Discord'un üçüncü taraf müşteri hizmetleri sağlayıcılarından birini tehlikeye attığını keşfettik. Yetkisiz taraf daha sonra Müşteri Desteği ve/veya Güvenlik ve Uyum ekiplerimiz aracılığıyla Discord ile iletişime geçen sınırlı sayıda kullanıcının bilgilerine erişim sağladı." denildi.
Discord, ihlalden haberdar olur olmaz adı açıklanmayan satıcının kendi biletleme sistemine erişimini kesti. Şirket şu anda etkilenen kullanıcılara e-posta yoluyla bildirimde bulunuyor. Bildirimler "[email protected]" adresinden gönderilecek ve Discord, hiçbir etkilenen kullanıcıyı telefonla aramayacağını belirtti.
Bu veri ihlali, giderek daha fazla platformun hizmetlerinin bir koşulu olarak kullanıcılardan resmi kimlik belgeleri talep etmesiyle birlikte gelecekte yaşanabilecek benzer olayların bir habercisi olarak görülüyor. Discord'un yanı sıra Roblox, Steam ve Twitch gibi platformlar da bazı kullanıcılarından fotoğraf kimlikleri sunmalarını istemişti. Ayrıca, dünya genelinde birçok ülkede yürürlüğe giren yasal düzenlemeler, yetişkinlere yönelik içerik sitelerinin ziyaretçilerinin yaşını doğrulamalarını zorunlu kılıyor.
Bazı platformlar bu düzenlemelere uyum sağlamak yerine, yaş doğrulama gerekliliğinin kişisel bilgilerin açıklanması riskini artırdığını ve kimlik hırsızlığına kapı araladığını savunuyor. Bu tür bir sistemin, hassas bilgilerin ele geçirilmesi ve dolandırıcılık amaçlı kullanılması gibi ciddi güvenlik açıkları yaratabileceği belirtiliyor.
Veri ihlallerinin giderek artması, çevrimiçi hizmetleri ve kullanıcılarını derinden etkilemeye devam ediyor. Büyük şirketlerin bile rutin olarak hacklendiği ve hassas verilerinin satışa çıkarıldığı bir ortamda, Discord kullanıcılarının kimlik bilgilerini saklayan daha küçük bir kuruluşun aynı akıbeti yaşamayacağını düşünmek için yeterli bir zemin bulunmuyor. Yüz fotoğrafları, doğum tarihleri, adresler ve potansiyel olarak milyonlarca kişiye ait diğer bilgilere erişim sağlayan hackerlar, platformlarda kimlik doğrulaması zorunluluğunun artmasından en çok fayda sağlayacak kesim oluyor. Verilerin, porno veya diğer hassas hizmetlerle ilişkilendirilmesi, verinin değerini daha da artırıyor.
Bu tehdide karşı kullanıcıların alabileceği önlemler sınırlı. En etkili yöntem, bu tür verileri talep eden platformları kullanmaktan kaçınmak olarak görülüyor. VPN gibi coğrafi konumu gizleyen araçlar birçok durumda işe yarayabilse de, platformların VPN IP adreslerini engellemesiyle bu yöntemlerin etkinliği azalabilir. Discord veya başka bir hizmete kimliklerini göndermiş olan kişilerin en iyi tavsiyesi, bu bilgilerin hackerlar tarafından çalınmış olabileceğini veya yakın zamanda çalınacağını varsayarak hareket etmeleridir.
Discord, etkilenen kullanıcılara "şüpheli görünen mesajlar veya diğer iletişimler alırken dikkatli olmalarını" tavsiye ediyor. Kuruluşların siber saldırganlara kolayca bilgi verdiği bir çağda, bu tavsiyenin ne kadar etkili olacağı belirsizliğini koruyor. Discord, soru sormak ve destek sağlamak için müşteri temsilcilerinin hazır bulunduğunu bildirdi.
