Pekan lalu, Discord mengungkapkan bahwa pelanggaran keamanan telah mengungkap beberapa informasi pribadi penggunanya – termasuk tanda pengenal pemerintah yang dikumpulkan untuk verifikasi usia. Pada saat itu, platform obrolan suara dan perpesanan menyatakan bahwa hanya “sejumlah kecil” ID yang diakses, dan mereka yang terkena dampak akan diberitahu melalui email.
Kita sekarang tahu persis betapa kecilnya jumlah ini, dengan juru bicara Discord Nu Wexler mengatakan kepada The Verge bahwa sekitar 70.000 orang mungkin telah disusupi ID mereka.
Kebocoran data pengguna Discord muncul kembali di forum peretas saat layanan pihak ketiga menyengketakan pelanggaran
“Semua pengguna yang terkena dampak secara global telah dihubungi dan kami terus bekerja sama dengan penegak hukum, otoritas perlindungan data, dan pakar keamanan eksternal,” kata Wexler kepada penerbit.
Jumlah ini mungkin tampak relatif kecil mengingat Discord memiliki lebih dari 200 juta pengguna aktif bulanan di seluruh dunia. Meski begitu, masih banyak sekali orang yang KTP-nya berpotensi diakses tanpa izin.
Laporan Tren yang Dapat Dihancurkan
Selain itu, 70.000 hanyalah jumlah pengguna Discord yang ID pemerintahnya mungkin terekspos, karena data pribadi lainnya juga terlibat dalam pelanggaran tersebut. Ini termasuk nama pengguna, rincian kontak, alamat IP, riwayat pembelian, dan empat digit terakhir kartu kredit mereka. Tidak jelas berapa banyak pengguna yang telah mengungkap informasi tersebut, tetapi untungnya Discord menyatakan tidak ada nomor kartu kredit atau kata sandi lengkap yang diakses.
Meskipun penggunanya terkena dampaknya, Discord menekankan bahwa perusahaan itu sendiri tidak dibobol. Sebaliknya, pelaku kejahatan memperoleh akses ke layanan pihak ketiga yang digunakan Discord untuk mengelola layanan pelanggannya, kemudian dapat melihat informasi mengenai pengguna yang telah menghubungi dukungan pelanggan. Oleh karena itu, meskipun beberapa pesan pengguna telah disusupi, ini hanyalah percakapan mereka dengan staf dukungan pelanggan. Dalam postingan blog aslinya, Discord mengatakan pihaknya menghubungi pengguna yang terkena dampak, yang akan menerima email darinya [email protected].
Meskipun perusahaan tersebut menuduh dalam postingannya bahwa aktor jahat tersebut “bertujuan untuk memeras uang tebusan finansial dari Discord,” Wexler mengatakan kepada The Verge bahwa perusahaan tersebut tidak akan membayar uang tebusan tersebut, dengan menyatakan bahwa mereka “tidak akan memberi penghargaan kepada mereka yang bertanggung jawab atas tindakan ilegal mereka.”
Discord memperkenalkan verifikasi usia di beberapa wilayah awal tahun ini, yang mengharuskan pengguna untuk mengambil foto selfie atau memberikan foto diri mereka dengan ID mereka. (Pengguna dengan cepat menemukan solusi untuk sistem ini pada bulan Juli, menemukan bahwa sistem ini dapat ditipu dengan menggunakan mode foto di video game Kematian Terdampar alih-alih selfie.) Perusahaan bermitra dengan k-ID untuk memverifikasi usia pengguna, meskipun tidak jelas apakah ini adalah penyedia layanan pihak ketiga yang disusupi. Menurut Discord, baik itu maupun k-ID menghapus gambar ID pengguna segera setelah usia mereka dikonfirmasi.
Beberapa pemerintah menerapkan undang-undang verifikasi usia dalam upaya mencegah anak-anak terpapar konten yang tidak sesuai dengan usia mereka. Sayangnya, penelitian menunjukkan bahwa undang-undang verifikasi usia tidak hanya tidak efektif tetapi juga membahayakan privasi dan keselamatan pengguna, seperti yang diilustrasikan oleh situasi Discord saat ini. Daripada mengharuskan situs web memeriksa ID pengguna, banyak pendukung kebebasan berpendapat dan privasi menyarankan verifikasi usia pada perangkat sebagai alternatif yang lebih aman dan efektif.