Утечка данных подтверждает подозрения отца о том, что Discord знал возраст подростка до взлома.
Авторство: NurPhoto / Участник | NurPhoto Авторство: NurPhoto / Участник | NurPhoto Настройки текстаТекст рассказа Размер Маленький Стандартный Большой Ширина * Стандартный Широкий Ссылки Стандартный Оранжевый * Только для подписчиков
Узнать больше Свернуть в навигацию
Брэди Фрей не знал, что его дочь солгала о своем возрасте при создании аккаунта в Discord. Он узнал об этом только после того, как ее аккаунт был взломан, и оказался втянутым в кошмарную ситуацию с поддержкой, пытаясь остановить хакера, который пытался вымогать деньги у десятков ее молодых друзей.
Когда дочь Фрей зарегистрировалась в Discord, ей было 12 лет, и формально она была недостаточно взрослой для создания аккаунта. Но, как выяснили регулирующие органы, как многие дети, которые часто лгут о своем возрасте, чтобы получить доступ к социальным сетям, она не хотела ждать еще год, чтобы присоединиться к своим друзьям в мессенджере. Скрыв свой возраст, она создала аккаунт, в котором указала, что ей больше 18 лет.
Теперь 13-летняя девушка с удовольствием пользовалась приложением несколько месяцев, когда внезапно её аккаунт заблокировали после перехода по ссылке от злоумышленника, выдававшего себя за сотрудника службы поддержки Discord. Поскольку она не включила двухфакторную аутентификацию, злоумышленник смог захватить её аккаунт. Фрей узнала о случившемся только тогда, когда злоумышленник попросил её поделиться банковскими реквизитами родителей, если она хочет вернуть свой аккаунт.
Когда Фрей понял, что аккаунт его дочери взломан, он предположил, что Discord незамедлительно вмешается, понимая, что чем дольше злоумышленник будет удерживать контроль над аккаунтом, тем больше пострадают мелкие жертвы из списка её друзей. Вместо этого чат-бот Discord, Клайд, и, казалось бы, живой сотрудник службы поддержки, Нелли, автоматически закрыли её заявку в службу поддержки, посоветовав сообщить о проблеме из самого приложения, к которому у неё не было доступа.
Фрей рассказал Ars, что был шокирован тем, что такая крупная платформа, как Discord, полагается на столь слабую инфраструктуру поддержки.
«У родителей нет возможности вмешаться и защитить несовершеннолетнего, чей аккаунт был взломан», — сказал Фрей изданию Ars.
Discord не обновляет возрастные настройки.
Прошло восемь дней, пока Фрей пытался обойти не относящиеся к делу автоматические ответы и внезапное закрытие заявок на форуме поддержки, четко объяснив: «Мы запрашиваем приоритетное рассмотрение, поскольку речь идет о несовершеннолетнем, и этот аккаунт активно общается с другими несовершеннолетними, которые также могут стать жертвами тех же методов социальной инженерии». Но заявку проигнорировали, и хакера не заблокировали до тех пор, пока не вмешался Ars.
Войдя в аккаунт и оценив ущерб, Фрей рассказал Ars, что 38 друзей его дочери стали жертвами мошенничества с использованием методов социальной инженерии, которое, как сообщало Bitdefender в феврале, «широко распространено» в Discord.
Выдавая себя за подростка, злоумышленница заявила, что случайно сообщила о хакерских аккаунтах своих друзей, и призвала их перейти по ссылкам, чтобы проверить их подлинность. Большинство друзей, по всей видимости, не попались на удочку мошенников, но двое пользователей, похоже, всё-таки клюнули на приманку, сообщила Фрей изданию Ars.
Пока его дочь пыталась связаться со своими друзьями в реальном мире, главным приоритетом Фрея после восстановления доступа было обновление возрастных настроек. Надеясь помочь дочери избежать будущих угроз безопасности, он хотел связать её аккаунт с Семейным центром, который предоставлял бы ему родительский контроль. Но кошмар со службой поддержки продолжился, поскольку Discord сообщил ему, что в настоящее время нет возможности «изменить статус аккаунта Discord, если он был создан с указанием 18+».
В будущем Discord планирует внедрить глобальную проверку возраста, которая будет использовать искусственный интеллект и другие методы для выявления и проверки пользователей, подобных дочери Фрей, которую следует пометить как подростка. Но пока что опыт Фрей показывает, «что происходит после того, как в реальной жизни несовершеннолетний оказывается в уязвимом положении, и родитель пытается получить помощь», — сказала Фрей.
Помимо неоднократных проблем с форумом поддержки, «инструменты для отправки отчетов в приложении Discord неоднократно давали сбои», — рассказал он Ars. «Я не мог успешно отправлять отчеты через собственную систему безопасности платформы». И «когда я указал на то, что атака активно распространяется на нескольких детей в одной и той же школе, это не изменило реакцию», — сказал Фрей.
В итоге Discord рассмотрел обращения в службу поддержки и заблокировал аккаунт, сообщив подростку, что она нарушила правила сообщества, создав аккаунт в 12 лет. Единственный способ восстановить аккаунт с настройками, соответствующими возрасту, — это предоставить фотографию подростка вместе с удостоверяющими личность документами, такими как свидетельство о рождении или паспорт.
В ответ на просьбу прокомментировать ситуацию представитель Discord заявил изданию Ars, что платформа «серьезно относится к подобным ситуациям, особенно когда они касаются подростков и безопасности учетных записей».
«У нас есть четкие правила относительно захвата учетных записей и случаев, когда мы можем восстановить доступ», — заявил представитель Discord. «В данном случае мы подтвердили право собственности на учетную запись, восстановили доступ и предоставили пользователю возможность подтвердить свой возраст».
Комментируя мошенничество, Discord заявил: «Пользователям следует избегать подозрительных ссылок и включать двухфакторную аутентификацию, а подросткам рекомендуется открыто обсуждать свой опыт в интернете с родителями или опекунами, при этом семьи должны использовать такие инструменты, как Family Center, чтобы оставаться в курсе событий и поддерживать связь друг с другом».
Хотя Фрей не решался делиться конфиденциальными документами своей дочери из-за опасений по поводу неприкосновенности частной жизни после взлома Discord, в результате которого были раскрыты 70 000 учетных записей прошлой осенью, он «решил провести проверку возраста», чтобы она не потеряла доступ к своей учетной записи полностью. Этот процесс также оказался сложным: два обращения в службу поддержки были проигнорированы, прежде чем Ars снова вмешался.
Для Фрея и его дочери эта тяжба затянулась более чем на четыре недели, полных препирательств, прежде чем удалось прийти к этому решению. Но для Фрея нежелание Discord обновить возрастные настройки его дочери вызвало дополнительные опасения, что платформа может скрывать информацию об учетной записи его дочери и о том, когда она была создана.
«Независимо от того, какой возраст был указан при создании аккаунта, моей дочери 13 лет, — сказала Фрей. — Ее аккаунт был взломан. Злоумышленник заблокировал ей доступ через двухфакторную аутентификацию, использовал ее аккаунт для распространения аналогичной атаки на других детей в ее школе и попытался выманить у нее и ее сверстников финансовую информацию».
В поисках ответов, которые он не смог получить на форуме поддержки Discord, он запросил у Discord данные его дочери и вскоре подтвердил свои подозрения: за несколько дней до взлома платформа внутренне классифицировала его дочь как подростка.
Данные показывают, что Discord знал возраст подростка.
Фрей имеет опыт работы в сфере цифрового искусства и технологий, а его дочь мечтает стать аниматором. В интервью Ars он рассказал, что по мере того, как его дочь проявляла интерес к различным онлайн-инструментам, включая такие приложения, как Discord и Roblox, в его семье открыто обсуждались риски использования этих платформ и приложений.
«Мы не новички в сфере технологий», — сказал он.
После получения данных из Discord-аккаунта своей дочери, Фрей сразу же заметил несколько странных моментов.
«При регистрации возраст не указывается, но есть кое-что, на что стоит обратить внимание: в её данных есть поле age_group, установленное на '13–17', что подтверждает, что система Discord знает, что она подросток», — сказал Фрей изданию Ars.
Согласно данным, Discord обновил это поле 9 марта, примерно за девять дней до взлома аккаунта 18 марта.
«Они изменили возраст со своей стороны, хотя мы не можем изменить возраст со своей», — сказал Фрей.
Кроме того, Фрей заметил, что отдельное поле «is_underage» было установлено на «false». Он сообщил Ars, что, по его мнению, «это несоответствие имеет значение, поскольку флаг несовершеннолетнего возраста, вероятно, определяет, применяются ли более строгие меры защиты рекламы» для детей.
Поскольку его дочь создала аккаунт с возрастным ограничением 18+, возможно, это поле соответствовало её собственному указанному возрасту. Но Фрей видел, что Discord дважды обновлял эту настройку: один раз через два дня после взлома, и ещё раз после восстановления её аккаунта. Каждый раз её отмечали как несовершеннолетнюю, несмотря на сообщения на форуме поддержки, в которых Discord неоднократно сообщал, что ей 13 лет.
По всей видимости, это означало, что платформа могла создать «подробный поведенческий рекламный профиль» подростка, даже несмотря на то, что ее внутренняя система отнесла ее к возрастной группе 13–17 лет, сказала Фрей.
Саманта Болдуин, специалист по политике и исследованиям в области технологий из Electronic Frontier Foundation (EFF), заявила Ars, что нежелание Discord официально обновлять настройки возраста весьма показательно. По ее словам, случай Фрей демонстрирует, почему защитники конфиденциальности считают, что законы о проверке возраста направлены не на «защиту детей», а на «слежку и цензуру».
«То, что они не переклассифицировали аккаунт несовершеннолетнего, ясно это демонстрирует», — сказал Болдуин. «Discord зарабатывает деньги, продавая личные данные своих пользователей. Они внедряют «проверку возраста» для соблюдения нормативных требований и сбора большего количества данных о своих клиентах, а не для защиты детей».
EFF давно предостерегает от введения возрастных ограничений в интернете, выступая против массового сбора идентификационных данных, который может заблокировать доступ пользователей к платформам, и считая технологии определения возраста неэффективными и нарушающими конфиденциальность.
В конечном итоге Фрей разрешил своей дочери поделиться своим паспортом с Discord, чтобы решить проблемы с её аккаунтом. Это могло бы поставить конфиденциальную личную информацию подростка под угрозу утечки в будущем, но Фрей сказал, что взвесил все варианты и решил, что паспорт, по-видимому, представляет меньший риск для несовершеннолетней, чем передача свидетельства о рождении.
Чтобы избежать подобных рисков, Discord планирует сократить сбор большого количества удостоверений личности и полагаться на новые технологии, такие как сканирование лица на устройстве и определение возраста, для выявления случаев, когда пользователи лгут о своем возрасте, по мере внедрения глобальных проверок возраста в конце этого года. Но всякий раз, когда пользователь оспаривает свою оценку возраста, Discord все равно будет требовать удостоверение личности. А для несовершеннолетних, которые могут быть не так умелы в объяснении своих проблем чат-боту, опыт Фрея показывает, как легко они могут попасть в замкнутый круг службы поддержки, в который он сам попал, пытаясь освободить аккаунт своего подростка от хакера.
Для его дочери разрешение поделиться своим паспортом означало, что она наконец-то сможет снова общаться со своими друзьями в Discord. После нескольких недель мольб о помощи, девушка явно пришла в отчаяние, когда попыталась поделиться своим паспортом, а служба поддержки Discord не приняла его и вместо этого потребовала сканирования лица. Чат-бот Клайд, по-видимому, допустил ошибку, когда предложил ей подтвердить свой возраст с помощью k-ID, который Discord использует в некоторых регионах, но в настоящее время не в США.
«Пожалуйста, откройте заявку заново, дело не в сканировании лица», — сказал подросток.
Но заявку не открыли снова, пока Арс в последний раз не обратилась в Discord. Ее разговор с Клайдом закончился мольбой подростка, которая осталась без ответа: «Привет, Discord, у нас уже были подобные проблемы. Пожалуйста, откройте заявку снова. Автоматическое закрытие некорректно, как и в других заявках за последний месяц».
Источник: arstechnica.com
