Discord a annoncé un incident de sécurité impliquant son fournisseur de service client tiers, 5CA, qui pourrait avoir exposé 70 000 photos d’identité gouvernementales. Le fournisseur, 5CA, a depuis émis un déclaration niant que ses systèmes aient été violés, créant un récit contradictoire de l’événement. Selon la plateforme de chat, l’incident a touché un groupe spécifique d’utilisateurs. Discorde a déclaré« cet incident a impacté un nombre limité d’utilisateurs qui avaient communiqué avec nos équipes de support client ou de confiance et sécurité. » Au sein de ce groupe, la société a identifié « environ 70 000 utilisateurs susceptibles d’avoir vu des photos d’identité gouvernementales exposées ». Ces documents d’identification ont été utilisés par le vendeur dans le but d’examiner les recours liés à l’âge soumis par les utilisateurs. Discord a souligné que l’événement n’était pas une compromission directe de sa propre infrastructure, déclarant : « il ne s’agissait pas d’une violation de Discord, mais plutôt d’une violation d’un fournisseur de services tiers, 5CA, que nous avons utilisé pour soutenir nos efforts de service client. » En réponse à l’annonce de Discord, 5CA a publié une déclaration officielle sur son site Web présentant un récit différent de l’incident. La société de support client a déclaré qu’elle n’avait « pas été piratée ». La déclaration précise : « Contrairement à ces rapports, nous pouvons confirmer qu’aucun des systèmes de 5CA n’a été impliqué, et 5CA n’a traité aucune pièce d’identité émise par le gouvernement pour ce client. » 5CA a affirmé l’intégrité de son infrastructure, ajoutant : « Toutes nos plates-formes et systèmes restent sécurisés, et les données des clients continuent d’être protégées dans le cadre de contrôles stricts de protection des données et de sécurité. » 5CA a précisé qu’elle menait une enquête médico-légale en cours sur cette affaire. Ce processus implique une collaboration étroite avec son client, qui est Discord, ainsi qu’avec des conseillers externes. La société a engagé des experts en cybersécurité et des pirates informatiques éthiques pour l’aider dans l’enquête. Le communiqué indique que, sur la base des conclusions provisoires de cette enquête, « nous pouvons confirmer que l’incident s’est produit en dehors de nos systèmes ». La société a également signalé qu’il n’y a actuellement « aucune preuve d’un quelconque impact sur d’autres clients, systèmes ou données 5CA » à la suite de l’incident signalé. Le fournisseur a proposé une explication potentielle à l’exposition des données pendant que son enquête se poursuit.
Nous sommes au courant de reportages médiatiques désignant 5CA comme la cause d’une violation de données impliquant l’un de nos clients. Contrairement à ces rapports, nous pouvons confirmer qu’aucun des systèmes de 5CA n’est impliqué et que 5CA n’a traité aucune pièce d’identité émise par le gouvernement pour ce client. Toutes nos plateformes et systèmes restent sécurisés et les données des clients continuent d’être protégées dans le cadre de contrôles stricts de protection des données et de sécurité.
Nous menons une enquête médico-légale en cours sur l’affaire et collaborons étroitement avec notre client, ainsi qu’avec des conseillers externes, notamment des experts en cybersécurité et des pirates informatiques éthiques. Sur la base de conclusions provisoires, nous pouvons confirmer que l’incident s’est produit en dehors de nos systèmes et que 5CA n’a pas été piraté. Il n’y a aucune preuve d’un impact sur d’autres clients, systèmes ou données 5CA. Les systèmes de contrôle d’accès, de cryptage et de surveillance sont pleinement opérationnels et, par mesure de précaution, font l’objet d’un examen approfondi.
Nos informations préliminaires suggèrent que l’incident pourrait être dû à une erreur humaine, dont l’ampleur fait toujours l’objet d’une enquête. Nous restons en contact étroit avec toutes les parties concernées et partagerons les résultats vérifiés une fois confirmés.
-5CA
Suite aux déclarations contradictoires des deux sociétés, plusieurs questions clés restent sans réponse. Il a été demandé à 5CA de confirmer si ses opérations impliquaient la manipulation des photos d’identité gouvernementales en question et de fournir des informations plus spécifiques sur « l’erreur humaine » évoquée comme cause possible. Parallèlement, il a été demandé à Discord de confirmer quelle entreprise était en possession des photos d’identité gouvernementales auxquelles on aurait pu accéder lors de l’incident de sécurité.
