Discord ogłosił incydent bezpieczeństwa z udziałem swojego zewnętrznego dostawcy obsługi klienta, 5CA, który mógł ujawnić 70 000 zdjęć dokumentów tożsamości. Od tego czasu sprzedawca, 5CA, wydał plik oświadczenie zaprzeczając, że doszło do naruszenia jego systemów, tworząc sprzeczne relacje z wydarzenia. Według platformy czatowej incydent dotknął konkretną grupę użytkowników. Niezgoda stwierdził„ten incydent miał wpływ na ograniczoną liczbę użytkowników, którzy komunikowali się z naszymi zespołami obsługi klienta lub zespołami ds. zaufania i bezpieczeństwa”. W obrębie tej grupy firma stwierdziła, że „około 70 000 użytkowników mogło mieć ujawnione zdjęcia z dokumentów tożsamości”. Te dokumenty identyfikacyjne zostały wykorzystane przez sprzedawcę w celu rozpatrzenia złożonych przez użytkowników odwołań związanych z wiekiem. Discord podkreślił, że wydarzenie nie było bezpośrednim naruszeniem własnej infrastruktury, stwierdzając: „nie było to naruszenie Discord, ale raczej naruszenie zewnętrznego dostawcy usług, 5CA, którego używaliśmy do wspierania naszych wysiłków w zakresie obsługi klienta”. W odpowiedzi na ogłoszenie Discorda 5CA zamieściło na swojej stronie oficjalne oświadczenie, w którym przedstawia inną wersję zdarzenia. Firma zajmująca się obsługą klienta oświadczyła, że „nie doszło do ataku hakerskiego”. W oświadczeniu podano: „Wbrew tym raportom możemy potwierdzić, że żaden z systemów 5CA nie był zaangażowany, a firma 5CA nie zajmowała się żadnymi dokumentami tożsamości wydanymi przez rząd dla tego klienta”. 5CA potwierdziła integralność swojej infrastruktury, dodając: „Wszystkie nasze platformy i systemy pozostają bezpieczne, a dane klientów są nadal chronione w ramach ścisłej ochrony danych i kontroli bezpieczeństwa”. 5CA szczegółowo poinformowało, że prowadzi w tej sprawie dochodzenie kryminalistyczne. Proces ten polega na ścisłej współpracy ze swoim klientem, którym jest Discord, a także z doradcami zewnętrznymi. Do pomocy w dochodzeniu firma zaangażowała ekspertów ds. cyberbezpieczeństwa i hakerów zajmujących się etyką. W oświadczeniu zauważono, że na podstawie tymczasowych ustaleń z tego dochodzenia „możemy potwierdzić, że incydent miał miejsce poza naszymi systemami”. Firma poinformowała również, że obecnie „nie ma dowodów na jakikolwiek wpływ zgłoszonego incydentu na innych klientów, systemy lub dane 5CA”. Dopóki trwa dochodzenie, dostawca przedstawił potencjalne wyjaśnienie ujawnienia danych.
Jesteśmy świadomi doniesień medialnych wymieniających 5CA jako przyczynę naruszenia danych z udziałem jednego z naszych klientów. Wbrew tym raportom możemy potwierdzić, że żaden z systemów firmy 5CA nie był zaangażowany, a firma 5CA nie zajmowała się dla tego klienta żadnymi dokumentami tożsamości wydanymi przez rząd. Wszystkie nasze platformy i systemy pozostają bezpieczne, a dane klientów są nadal chronione w ramach ścisłej ochrony danych i kontroli bezpieczeństwa.
Prowadzimy w tej sprawie śledztwo kryminalistyczne i ściśle współpracujemy z naszym klientem, a także doradcami zewnętrznymi, w tym ekspertami ds. cyberbezpieczeństwa i hakerami etycznymi. Na podstawie tymczasowych ustaleń możemy potwierdzić, że incydent miał miejsce poza naszymi systemami i że 5CA nie zostało zhakowane. Nie ma dowodów na jakikolwiek wpływ na innych klientów, systemy lub dane 5CA. Systemy kontroli dostępu, szyfrowania i monitorowania są w pełni sprawne i, jako środek zapobiegawczy, są poddawane wnikliwemu przeglądowi.
Z naszych wstępnych informacji wynika, że incydent mógł wynikać z błędu ludzkiego, którego zakres jest nadal badany. Pozostajemy w bliskim kontakcie ze wszystkimi właściwymi stronami i po potwierdzeniu podzielimy się zweryfikowanymi ustaleniami.
-5CA
W odpowiedzi na sprzeczne oświadczenia obu firm kilka kluczowych pytań pozostaje bez odpowiedzi. Do 5CA zwrócono się o potwierdzenie, czy jego działania obejmowały przetwarzanie przedmiotowych zdjęć z dokumentów rządowych oraz o dostarczenie bardziej szczegółowych informacji na temat „błędu ludzkiego”, który wymienił jako możliwą przyczynę. Jednocześnie Discord został poproszony o potwierdzenie, która firma była w posiadaniu rządowych zdjęć identyfikacyjnych, do których można było uzyskać dostęp podczas incydentu związanego z bezpieczeństwem.
