Discord 通知用戶資料因駭侵攻擊而外洩
https://www.twcert.org.tw/tw/cp-104-7340-b1bda-1.html
十分受全球網友歡迎的社群聊天室服務 Discord，日前開始發送 email 通知部分用戶，
因該平台先前發生的駭侵事故，導致這批用戶的個人可識別資訊（personally
identifiable information, PII）外洩。
該次駭侵事件發生在 2023 年 3 月 29 日，起因是負責承包 Discord 平台客戶服務工作
的第三方廠商一名工作人員，疑似遭到社交攻擊，導致駭侵者取得其工作用登入資訊，並
藉以取得 Discord 平台部分系統的使用權限。
駭侵者竊得的資料，包括客服系統中的支援工單佇列、用戶的 email 地址、與客服人員
溝通的訊息記錄，以及支援工單中附件的檔案內容。
Discord 表示在發現系統遭到不當存取，且證實資料遭竊後，該公司立即停用遭駭人員帳
號的相關權限，清查後發現約有 180 名使用者的個人機敏資料遭到竊取。
Discord 在新聞稿中指出，目前證實有一名位於美國緬因州的使用者，其個人姓名、駕駛
執照、州民證號碼等資訊遭到外洩。
另外，在先前有一家第三方、非官方的 Discord 邀請服務 Discord.io，在遭到駭侵攻擊
並發生大量資料外洩後停止服務；資料遭到外洩的該服務使用者據傳多達 760,000 人。
Discord.io 被竊取的使用者資訊，據傳也在一個新成立的駭侵討論區 Breached 上出售
，駭侵者還公開了 4 名使用者的資訊，以佐證該批資料的真實性。遭竊的資料欄位包括
使用者名稱、email 地址、帳單地址（部分使用者）、已加密的密碼 hash、對應的
Discord ID 等。
鑑於第三方服務業者人員遭社交攻擊等方式，導致平台系統遭到駭侵的案例層出不窮，建
議各平台業者加強第三方業者的資安認證與人員教育訓練，並將核心系統與資料進行必要
的隔離保護。