Discord heeft een beveiligingsincident aangekondigd waarbij de externe klantenserviceleverancier 5CA betrokken is, waarbij mogelijk 70.000 identiteitsfoto’s van de overheid zijn vrijgegeven. De verkoper, 5CA, heeft sindsdien een stelling ontkende dat er inbreuk was gemaakt op zijn systemen, waardoor een tegenstrijdig verslag van de gebeurtenis ontstond. Volgens het chatplatform trof het incident een specifieke groep gebruikers. Meningsverschil verklaard“Dit incident had gevolgen voor een beperkt aantal gebruikers die hadden gecommuniceerd met onze klantenservice- of vertrouwens- en veiligheidsteams.” Binnen deze groep identificeerde het bedrijf dat “ongeveer 70.000 gebruikers mogelijk een identiteitsfoto van de overheid hadden getoond.” Deze identificatiedocumenten werden door de verkoper gebruikt voor het beoordelen van leeftijdsgerelateerde beroepen die door gebruikers waren ingediend. Discord benadrukte dat het evenement geen direct compromis was van de eigen infrastructuur en verklaarde: “Dit was geen inbreuk op Discord, maar eerder een inbreuk op een externe dienstverlener, 5CA, die we gebruikten om onze klantenservice-inspanningen te ondersteunen.” Als reactie op de aankondiging van Discord plaatste 5CA een formele verklaring op haar website met een ander verslag van het incident. Het klantenondersteuningsbedrijf verklaarde dat het ‘niet gehackt’ was. De verklaring specificeerde: “In tegenstelling tot deze rapporten kunnen we bevestigen dat geen van de systemen van 5CA erbij betrokken was, en dat 5CA geen door de overheid uitgegeven identiteitsbewijzen voor deze klant heeft afgehandeld.” 5CA bevestigde de integriteit van zijn infrastructuur en voegde eraan toe: “Al onze platforms en systemen blijven veilig, en klantgegevens worden nog steeds beschermd onder strikte gegevensbescherming en beveiligingscontroles.” 5CA heeft aangegeven dat het een lopend forensisch onderzoek naar de zaak uitvoert. In dit proces wordt nauw samengewerkt met de opdrachtgever, Discord, en met externe adviseurs. Het bedrijf heeft cyberbeveiligingsexperts en ethische hackers ingeschakeld om te helpen bij het onderzoek. In de verklaring werd opgemerkt dat we op basis van tussentijdse bevindingen uit dit onderzoek “kunnen bevestigen dat het incident buiten onze systemen heeft plaatsgevonden.” Het bedrijf meldde ook dat er momenteel “geen bewijs is van enige impact op andere 5CA-klanten, systemen of gegevens” als gevolg van het gerapporteerde incident. De leverancier heeft een mogelijke verklaring gegeven voor de blootstelling aan gegevens terwijl het onderzoek voortduurt.
Wij zijn op de hoogte van berichten in de media waarin 5CA wordt genoemd als de oorzaak van een datalek waarbij een van onze klanten betrokken is. In tegenstelling tot deze rapporten kunnen we bevestigen dat geen van de systemen van 5CA erbij betrokken was, en dat 5CA voor deze klant geen door de overheid uitgegeven identiteitsbewijzen heeft verwerkt. Al onze platforms en systemen blijven veilig en klantgegevens worden nog steeds beschermd onder strikte gegevensbeschermings- en beveiligingscontroles.
We voeren doorlopend forensisch onderzoek uit naar de zaak en werken nauw samen met onze klant, maar ook met externe adviseurs, waaronder cybersecurity-experts en ethische hackers. Op basis van tussentijdse bevindingen kunnen we bevestigen dat het incident buiten onze systemen heeft plaatsgevonden en dat 5CA niet is gehackt. Er zijn geen aanwijzingen voor enige impact op andere 5CA-clients, -systemen of -gegevens. Toegangscontrole-, encryptie- en monitoringsystemen zijn volledig operationeel en worden uit voorzorg strenger gecontroleerd.
Onze voorlopige informatie suggereert dat het incident mogelijk het gevolg is van een menselijke fout, waarvan de omvang nog wordt onderzocht. We onderhouden nauw contact met alle relevante partijen en zullen geverifieerde bevindingen delen zodra deze zijn bevestigd.
-5CA
Na de tegenstrijdige verklaringen van de twee bedrijven blijven verschillende belangrijke vragen onbeantwoord. 5CA is gevraagd om te bevestigen of haar activiteiten betrekking hebben op de verwerking van de identiteitsfoto’s van de overheid in kwestie en om meer specifieke informatie te verstrekken over de “menselijke fout” waarnaar zij verwijst als mogelijke oorzaak. Tegelijkertijd is Discord gevraagd om te bevestigen welk bedrijf in het bezit was van de identiteitsfoto’s van de overheid waartoe mogelijk toegang is verkregen tijdens het beveiligingsincident.
