Discord meldt dat datalek van eerder dit jaar 180 gebruikers trof

Discord meldt dat er bij het datalek van eerder dit jaar gegevens van 180 gebruikers gestolen zijn. Het chatplatform is begonnen met het inlichten van de getroffenen door middel van een e-mail.

Dat blijkt uit een document ingediend bij de procureur-generaal van de Amerikaanse staat Maine, zo schrijft BleepingComputer. Het datalek vond in maart van dit jaar plaats en werd enkele maanden later erkend. Een kwaadwillende hacker wist via het account van een servicemedewerker van een derde partij bij de klantengegevens van de 180 gebruikers te komen. Vermoedelijk zijn dus alleen gegevens buitgemaakt van gebruikers die een serviceticket aanmaakten. Overigens heeft dit incident niets te maken met een grootschalig datalek bij de niet aan Discord gelieerde invitedienst Discord.io van eerder deze maand. Hierbij werden de gegevens van zo'n 760.000 gebruikers gestolen.

Discord melding datalek
De melding die Discord eerder dit jaar al naar potentiële slachtoffers stuurde

Door Yannick Spinner

Redacteur

24-08-2023 • 18:15

12

Submitter: TheVivaldi

Reacties (12)

12
10
5
0
0
2
Wijzig sortering
klinkt alsof ze hun GDPR-boekhouding goed in orde hebben, want weinig bedrijven gaan ook melding doen van third-party security-leaks
Toch zijn bedrijven soms wel degelijk aansprakelijk voor een datalek, ook als dat bij een derde partij (zoals een toeleverancier) gebeurt.
Organisations share personal data with third parties all the time, but can they be trusted?

Data breaches at service providers can have a ripple effect throughout the supply chain, disrupting processes, causing delays and potentially even resulting in fines.

Under the GDPR (General Data Protection Regulation), for instance, an organisation can be held be liable for a security incident that occurs further down the supply chain.
Zie https://www.itgovernance....ervice-providers-security

Dus als die bedrijven dat niet melden, en ze vallen toch binnen die gestelde condii, dan is dat niet zo netjes van die bedrijven.

[Reactie gewijzigd door wildhagen op 24 juli 2024 17:34]

Toch zijn bedrijven soms wel degelijk aansprakelijk voor een datalek, ook als dat bij een derde partij (zoals een toeleverancier) gebeurt.
Dat is dan ook logisch. Als eigenaar van de persoonsgegevens heb je een relatie met een enkele partij, niet met diens leveranciers. Vergelijk het met een winkel waar je iets van koopt, die eindverantwoordelijk blijft voor de wettelijke garantie ondanks dat die iets om te repareren opstuurt naar de fabrikant of een reparatiebedrijf.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 17:34]

Zo zijn er idd veel situaties, het hangt er maar van af hoe en waar er data staat.
Dunno: de verklaring dat een derde partij een oopsie deed en daarom data gelekt werd, is wel bijna het beste verhaal dat je kan hebben na een lek. Anderzijds is het achterhouden van een lek een gok met je imago - en financiën. Het is ook niet omdat een derde partij een wachtwoord/account lekte, dat je niet meer verantwoordelijk bent voor de data die je host!

Mij valt vooral op dat ze technisch de mogelijkheden hebben tot een dergelijke conclusie. Dat vereist een hoop audit logs, log aggregatie, tijd, geld, resources. Dat is ook iets waar vooraf tijd, geld en resources is ingestoken. Dat loont nu doordat ze met een goed en duidelijk verhaal kunnen komen. Het zou dom zijn om dat verhaal niet te brengen.
exact dit, veel bedrijven wéten zelfs niet dat ze een datalek hebben gehad en als ze het al weten, dan moet dit intern tot bij de juiste persoon komen die de juiste handelingen onderneemt (informeren van klanten en overheid).

Ze "brengen" het verhaal trouwens niet zelf, maar het gaat om een verslag over een publiek document bij de overheid van de staat Maine. Hoe BleepingComputer er op is uitgekomen is een ander topic waardig, want ik gok eerder dat het een crawler of andere bot zal zijn geweest die dit soort documenten doorspit, eerder dan een mens op zoek naar nieuwsinformatie. Het gaat ook om amper 1 inwoner van Maine waarop deze notification van toepassing is:
Total number of Maine residents affected: 1
exact dit, veel bedrijven wéten zelfs niet dat ze een datalek hebben gehad en als ze het al weten, dan moet dit intern tot bij de juiste persoon komen die de juiste handelingen onderneemt (informeren van klanten en overheid)
Ik zou zelfs zeggen “de meeste bedrijven”. Heel wat bedrijven hebben niet eens een it’er of MSP.
Voor wat betreft MSP’s is het aantal dat SOC diensten (door) verkoopt heel minimaal. Bovendien is een SOC een lopende kost, die als al de rest prima op orde is, amper ‘actief’ is.
Er zijn maar een paar sectoren waar omwille van regelgeving of impact een degelijk (en volwaardig) security beleid gebruikelijk is - bij al de rest mag je blij zijn als de boel degelijk up to date gehouden wordt. Dat is althans mijn ervaring jammer genoeg.
Vraag me af of dit voor of na het verwijderen van de Discriminators is.
Zou nog wel eens flinke gevolgen kunnen hebben.
Als je een bedankt je wilt moet je dat wel op de juiste plek doen.

forumtopic: Meld hier spel- en tikfoutjes - en dus *geen* andere foutjes

Krijg ik nu ook een bedankje?

Op dit item kan niet meer gereageerd worden.