Discord bestätigt Hack eines Support-Anbieters: Nutzerdaten und Ausweise kompromittiert
Wie der Discord-Datenvorfall ablief
Anfang Oktober 2025 bestätigte Discord einen schwerwiegenden Sicherheitsvorfall, der einen externen Kundendienst-Anbieter betraf und Nutzer betraf, die den Kundensupport oder die Trust & Safety-Teams kontaktiert hatten. Der Vorfall, der am 20. September 2025 stattfand, war kein direkter Einbruch in Discords interne Systeme, sondern die Kompromittierung der Support-Ticket-Umgebung eines Anbieters. Die Angreifer, die sich als Scattered Lapsus$ Hunters (SLH) identifizierten, erbeuteten etwa 1,6 Terabyte an Daten, darunter sensible Nutzerinformationen und Bilder von Ausweisen, die für Altersverifikationsanträge verwendet wurden.
Anbieter 5CA als Einfallstor identifiziert
Discord nannte öffentlich 5CA, ein niederländisches Kundenerfahrungsunternehmen, als den Drittanbieter, dessen Umgebung kompromittiert wurde. Laut Discords aktualisierter Stellungnahme vom 9. Oktober 2025 verschaffte sich die unbefugte Partei Zugang zum Support-Ticket-System von 5CA und gelangte so an interne Dashboards, Zahlungsdetails und Fotos von Ausweisen. 5CA wies die Vorwürfe jedoch schnell zurück und behauptete, seine Systeme seien nicht kompromittiert worden und es verarbeite keine von Behörden ausgestellten Ausweise für Discord. Dieser Widerspruch hat für Verwirrung gesorgt, wobei 5CA vermutet, dass der Vorfall eher auf menschliches Versagen als auf einen direkten Systemeinbruch zurückzuführen ist.
Welche Daten wurden offengelegt?
Die gestohlenen Daten umfassen Namen, Discord-Benutzernamen, E-Mail-Adressen, IP-Adressen und Transkripte von Kundensupport-Interaktionen. Kritischer noch: Discord identifizierte etwa 70.000 Nutzer, deren Ausweisbilder (wie Führerscheine und Reisepässe) möglicherweise eingesehen wurden. Auch begrenzte Zahlungsinformationen – Zahlungsart, die letzten vier Ziffern von Kreditkarten und der Kaufverlauf – wurden geleakt. Discord versicherte, dass vollständige Kreditkartennummern, Passwörter und private Nachrichten außerhalb von Support-Kanälen sicher geblieben seien.
Die Hackergruppe und ihre Forderungen
Der als Scattered Lapsus$ Hunters (SLH) bekannte Bedrohungsakteur übernahm die Verantwortung. Berichten zufolge handelt es sich um eine Koalition, die Taktiken von Scattered Spider, Lapsus$ und ShinyHunters kombiniert – Gruppen, die für Angriffe auf Drittanbieter berüchtigt sind. SLH versuchte, Discord mit einem Lösegeld zu erpressen, und behauptete zunächst, über 2 Millionen Ausweisfotos zu besitzen. Discords interne Untersuchung bezifferte die Zahl jedoch auf etwa 70.000. Discord weigerte sich, das Lösegeld zu zahlen, und schaltete die Strafverfolgungsbehörden ein, um die Täter zu verfolgen.
Sofortmaßnahmen von Discord
Nach der Entdeckung entzog Discord dem Anbieter den Zugriff auf sein Ticketsystem und beendete die Partnerschaft. Das Unternehmen leitete eine interne Untersuchung mit einem führenden forensischen Computerunternehmen ein und benachrichtigte die zuständigen Datenschutzbehörden. Betroffene Nutzer werden per E-Mail von noreply@discord.com kontaktiert, und Discord betonte, dass es Nutzer niemals wegen Sicherheitsproblemen anrufen werde. Das Unternehmen bekräftigte auch, dass seine Kerninfrastruktur nicht kompromittiert worden sei.
Lehren für Nutzer und die Branche
Dieser Vorfall unterstreicht die Risiken von Supply-Chain-Angriffen, bei denen Angreifer weniger gesicherte Drittanbieter ausnutzen. Für Discord-Nutzer zeigt der Vorfall, wie wichtig es ist, Konten mit starken Passwörtern zu sichern und die Zwei-Faktor-Authentifizierung zu aktivieren. Nutzer sollten auch vorsichtig sein, wenn sie sensible Informationen wie Ausweise weitergeben, selbst für legitime Anfragen. Der Widerspruch zwischen den Aussagen von Discord und 5CA verdeutlicht die Notwendigkeit eines transparenteren Risikomanagements bei Anbietern und robusterer Reaktionsprotokolle in der gesamten Branche.