Discord 通知用户资料因骇侵攻击而外泄
https://www.twcert.org.tw/tw/cp-104-7340-b1bda-1.html
十分受全球网友欢迎的社群聊天室服务 Discord，日前开始发送 email 通知部分用户，
因该平台先前发生的骇侵事故，导致这批用户的个人可识别资讯（personally
identifiable information, PII）外泄。
该次骇侵事件发生在 2023 年 3 月 29 日，起因是负责承包 Discord 平台客户服务工作
的第三方厂商一名工作人员，疑似遭到社交攻击，导致骇侵者取得其工作用登入资讯，并
藉以取得 Discord 平台部分系统的使用权限。
骇侵者窃得的资料，包括客服系统中的支援工单伫列、用户的 email 地址、与客服人员
沟通的讯息记录，以及支援工单中附件的档案内容。
Discord 表示在发现系统遭到不当存取，且证实资料遭窃后，该公司立即停用遭骇人员帐
号的相关权限，清查后发现约有 180 名使用者的个人机敏资料遭到窃取。
Discord 在新闻稿中指出，目前证实有一名位于美国缅因州的使用者，其个人姓名、驾驶
执照、州民证号码等资讯遭到外泄。
另外，在先前有一家第三方、非官方的 Discord 邀请服务 Discord.io，在遭到骇侵攻击
并发生大量资料外泄后停止服务；资料遭到外泄的该服务使用者据传多达 760,000 人。
Discord.io 被窃取的使用者资讯，据传也在一个新成立的骇侵讨论区 Breached 上出售
，骇侵者还公开了 4 名使用者的资讯，以佐证该批资料的真实性。遭窃的资料字段包括
使用者名称、email 地址、帐单地址（部分使用者）、已加密的密码 hash、对应的
Discord ID 等。
鉴于第三方服务业者人员遭社交攻击等方式，导致平台系统遭到骇侵的案例层出不穷，建
议各平台业者加强第三方业者的资安认证与人员教育训练，并将核心系统与资料进行必要
的隔离保护。