В стриминговом сервисе для ПК Shadow обнаружили утечку данных. В результате злоумышленники завладели персональными данными клиентов: именами и фамилиями, адресами электронной почты, датами рождения, платёжными адресами и датами истечения срока действия кредитной карты.

Гендиректор Shadow подтвердил, что в конце сентября на компанию совершили атаку с использованием социальной инженерии, которая привела к краже базы данных одного из поставщиков услуг. Сервис уже усилил протоколы безопасности и обновляет внутренние системы.

Атака произошла на платформе Discord. Сотрудник Shadow, который сам стал жертвой социальной инженерии, предложил знакомым загрузить игру на платформе Steam. Под видом игры скрывалось вредоносное ПО. Злоумышленникам удалось использовать один из украденных файлов cookie для подключения к интерфейсу управления одного из поставщиков SaaS. Благодаря этому файлу cookie, который уже деактивирован, он получил через API SaaS-провайдера определённую личную информацию.