Discord ha anunciado un incidente de seguridad que involucra a su proveedor externo de servicio al cliente, 5CA, que puede haber expuesto 70.000 fotografías de identificación gubernamentales. Desde entonces, el proveedor, 5CA, ha emitido un declaración negando que sus sistemas hayan sido violados, creando una versión contradictoria del evento. Según la plataforma de chat, el incidente afectó a un grupo específico de usuarios. Discordia fijado«este incidente afectó a un número limitado de usuarios que se habían comunicado con nuestros equipos de atención al cliente o confianza y seguridad». Dentro de este grupo, la empresa identificó que “aproximadamente 70.000 usuarios pueden haber tenido fotografías de identificación gubernamental expuestas”. Estos documentos de identificación fueron utilizados por el proveedor con el fin de revisar las apelaciones relacionadas con la edad presentadas por los usuarios. Discord enfatizó que el evento no fue un compromiso directo de su propia infraestructura, afirmando que «esto no fue una violación de Discord, sino más bien una violación de un proveedor de servicios externo, 5CA, que utilizamos para respaldar nuestros esfuerzos de servicio al cliente». En respuesta al anuncio de Discord, 5CA publicó una declaración formal en su sitio web presentando un relato diferente del incidente. La empresa de atención al cliente declaró que «no fue pirateada». La declaración especificaba: «Contrariamente a estos informes, podemos confirmar que ninguno de los sistemas de 5CA estuvo involucrado y 5CA no ha manejado ninguna identificación emitida por el gobierno para este cliente». 5CA afirmó la integridad de su infraestructura y agregó: «Todas nuestras plataformas y sistemas permanecen seguros, y los datos de los clientes continúan protegidos bajo estrictos controles de seguridad y protección de datos». 5CA detalló que está llevando a cabo una investigación forense en curso sobre el asunto. Este proceso implica una estrecha colaboración con su cliente, que es Discord, así como con asesores externos. La compañía ha contratado a expertos en ciberseguridad y piratas informáticos éticos para ayudar en la investigación. La declaración señaló que, según los hallazgos provisionales de esta investigación, «podemos confirmar que el incidente ocurrió fuera de nuestros sistemas». La compañía también informó que actualmente “no hay evidencia de ningún impacto en otros clientes, sistemas o datos de 5CA” como resultado del incidente reportado. El proveedor ha ofrecido una posible explicación para la exposición de datos mientras continúa su investigación.
Somos conscientes de informes de los medios que señalan a 5CA como la causa de una violación de datos que involucra a uno de nuestros clientes. Contrariamente a estos informes, podemos confirmar que ninguno de los sistemas de 5CA estuvo involucrado y 5CA no ha manejado ninguna identificación emitida por el gobierno para este cliente. Todas nuestras plataformas y sistemas permanecen seguros, y los datos de los clientes continúan protegidos bajo estrictos controles de seguridad y protección de datos.
Estamos llevando a cabo una investigación forense en curso sobre el asunto y colaborando estrechamente con nuestro cliente, así como con asesores externos, incluidos expertos en ciberseguridad y piratas informáticos éticos. Según los hallazgos provisionales, podemos confirmar que el incidente ocurrió fuera de nuestros sistemas y que 5CA no fue pirateado. No hay evidencia de ningún impacto en otros clientes, sistemas o datos de 5CA. Los controles de acceso, el cifrado y los sistemas de monitoreo están en pleno funcionamiento y, como medida de precaución, están bajo intensa revisión.
Nuestra información preliminar sugiere que el incidente pudo haber sido el resultado de un error humano, cuyo alcance aún está bajo investigación. Seguimos en estrecho contacto con todas las partes relevantes y compartiremos los hallazgos verificados una vez confirmados.
-5CA
Tras las declaraciones contradictorias de las dos empresas, varias preguntas clave siguen sin respuesta. Se ha pedido a 5CA que confirme si sus operaciones implicaron el manejo de las fotografías de identificación del gobierno en cuestión y que proporcione información más específica sobre el «error humano» al que hace referencia como posible causa. Al mismo tiempo, se le pidió a Discord que confirmara qué compañía estaba en posesión de las fotografías de identificación del gobierno a las que se pudo haber accedido durante el incidente de seguridad.
