Discord: Penyerang Mengakses Sekitar 70.000 Foto ID Pengguna

Discord: Penyerang Mengakses Sekitar 70.000 Foto ID Pengguna

Pelanggaran Vendor Pihak Ketiga Mengekspos Data Pengguna

Discord baru-baru ini mengungkapkan bahwa pihak yang tidak berwenang membobol salah satu penyedia layanan pelanggan pihak ketiganya, 5CA, yang menyebabkan tereksposnya sekitar 70.000 foto ID pemerintah pengguna. Pelanggaran yang terjadi pada 20 September 2025 ini menargetkan vendor yang digunakan untuk verifikasi usia dan banding dukungan. Discord dengan cepat mengklarifikasi bahwa platformnya sendiri tidak disusupi—serangan difokuskan pada penyedia pihak ketiga. Segera setelah menemukan insiden tersebut, Discord mencabut akses vendor ke sistem tiketnya, meluncurkan investigasi internal, dan melibatkan penegak hukum. Perusahaan sedang dalam proses mengirim email kepada pengguna yang terkena dampak, dengan komunikasi resmi hanya berasal dari noreply@discord.com.

Data Apa yang Diakses?

Data yang terekspos terbatas pada informasi yang ditangani oleh sistem layanan pelanggan. Ini termasuk nama, nama pengguna Discord, alamat email, dan detail kontak lain yang diberikan kepada tim dukungan. Selain itu, informasi penagihan terbatas—seperti jenis pembayaran, empat digit terakhir nomor kartu kredit, dan riwayat pembelian—mungkin telah diakses. Alamat IP dan konten pesan yang dipertukarkan dengan agen layanan pelanggan juga terekspos. Yang paling kritis, sejumlah kecil gambar ID pemerintah, seperti SIM dan paspor, telah dikompromikan. Discord menekankan bahwa tidak ada nomor kartu kredit penuh, kode CVV, kata sandi, atau aktivitas pengguna di luar interaksi dukungan yang terlibat.

Dampak pada Pengguna dan Verifikasi Usia

Pengguna yang terkena dampak terutama adalah mereka yang menghubungi Tim Dukungan Pelanggan atau Trust & Safety Discord, khususnya untuk banding terkait usia. Untuk mematuhi peraturan, Discord mewajibkan pengguna untuk memverifikasi usia mereka dengan mengunggah ID yang dikeluarkan pemerintah. Proses ini, yang dialihdayakan ke vendor pihak ketiga seperti 5CA, menciptakan vektor pelanggaran. Penyerang mendapatkan akses ke foto ID sekitar 70.000 pengguna, yang berisi informasi pribadi sensitif seperti nama lengkap, tanggal lahir, dan alamat fisik. Hal ini menimbulkan masalah privasi yang signifikan, karena data yang bocor dapat digunakan untuk pencurian identitas atau penguntitan. Discord telah menyatakan bahwa pengguna yang terkena dampak akan menerima email yang merinci apakah ID mereka diakses.

Tanggapan Discord dan Langkah Keamanan

Discord bertindak cepat dengan mencabut akses penyedia pihak ketiga, melibatkan firma forensik komputer terkemuka, dan memberi tahu otoritas perlindungan data terkait. Perusahaan bekerja sama dengan penegak hukum untuk menyelidiki serangan tersebut, yang melibatkan permintaan tebusan. Discord telah menyatakan tidak akan membayar tebusan, menyebutnya sebagai tindakan ilegal. Ke depannya, Discord berencana untuk mengaudit sistem pihak ketiganya lebih sering untuk memastikan mereka memenuhi standar keamanan dan privasi. Perusahaan juga merekomendasikan agar semua pengguna tetap waspada terhadap pesan atau komunikasi mencurigakan yang mungkin merupakan bagian dari upaya phishing terkait pelanggaran.

Saluran Komunikasi Resmi

Discord telah memperingatkan bahwa mereka hanya akan menghubungi pengguna yang terkena dampak melalui email dari noreply@discord.com. Pengguna harus berhati-hati terhadap panggilan telepon atau email dari alamat lain yang mengaku tentang pelanggaran tersebut. Perusahaan tidak mengungkapkan identitas vendor yang dikompromikan, tetapi laporan mengonfirmasi bahwa itu adalah 5CA, sebuah firma layanan pelanggan yang berbasis di Inggris. Penyedia pihak ketiga lainnya, seperti Zendesk, telah menyatakan bahwa sistem mereka tidak terlibat.

Reaksi Komunitas dan Pakar

Pelanggaran ini telah memicu diskusi luas di antara 200 juta pengguna Discord, dengan banyak yang menyatakan kekhawatiran atas penanganan data ID sensitif. Beberapa komentator online menyarankan bahwa pelanggaran mungkin lebih luas dari yang diungkapkan, tetapi Discord membantah klaim ini, menghubungkannya dengan upaya pemerasan. Pakar keamanan mencatat bahwa insiden ini menyoroti risiko mengalihdayakan verifikasi usia ke pihak ketiga. Kebocoran lebih dari 100 gambar ID di saluran Telegram, yang diduga dari pelanggaran, menggarisbawahi bahaya nyata dari paparan identitas. Pengguna yang telah menyerahkan ID untuk DMCA atau verifikasi usia sangat rentan, karena alamat fisik mereka mungkin kini berisiko.

Apa yang Harus Dilakukan Pengguna Selanjutnya

Jika Anda menerima email dari Discord tentang insiden ini, tinjau detailnya dengan cermat. Ubah kata sandi Discord Anda dan aktifkan autentikasi dua faktor jika Anda belum melakukannya. Pantau akun keuangan Anda untuk aktivitas mencurigakan, terutama jika Anda memiliki informasi penagihan yang tertaut ke Discord. Waspadalah terhadap upaya phishing yang mungkin merujuk pada pelanggaran. Bagi mereka yang foto ID-nya terekspos, pertimbangkan untuk memasang peringatan penipuan pada file kredit Anda dan laporkan pencurian identitas apa pun ke otoritas terkait. Discord terus bekerja sama dengan penegak hukum, tetapi kewaspadaan individu adalah kunci untuk mengurangi potensi kerugian.