Iamprovider

Discord Konfirmasi Peretasan Vendor Dukungan yang Membocorkan Data Pengguna dan KTP

Discord Konfirmasi Peretasan Vendor Dukungan yang Membocorkan Data Pengguna dan KTP

Bagaimana Pelanggaran Data Discord Terjadi

Pada awal Oktober 2025, Discord mengonfirmasi insiden keamanan signifikan yang melibatkan vendor layanan pelanggan pihak ketiga, yang memengaruhi pengguna yang telah menghubungi Tim Dukungan Pelanggan atau Trust & Safety. Pelanggaran yang terjadi pada 20 September 2025 ini bukanlah intrusi langsung ke sistem internal Discord, melainkan kompromi terhadap lingkungan tiket dukungan vendor. Para peretas, yang mengidentifikasi diri sebagai Scattered Lapsus$ Hunters (SLH), mengeksfiltrasi sekitar 1,6 terabyte data, termasuk informasi sensitif pengguna dan gambar KTP yang digunakan untuk banding verifikasi usia.

Vendor 5CA Dinamai sebagai Vektor Pelanggaran

Discord secara publik menyebut 5CA, sebuah perusahaan pengalaman pelanggan yang berbasis di Belanda, sebagai penyedia pihak ketiga yang lingkungannya dibobol. Menurut pernyataan terbaru Discord pada 9 Oktober 2025, pihak tidak berwenang mengakses sistem tiket dukungan 5CA, mendapatkan akses ke dasbor internal, detail pembayaran, dan foto KTP. Namun, 5CA dengan cepat mengeluarkan bantahan, mengklaim sistemnya tidak dikompromikan dan tidak menangani KTP untuk Discord. Kontradiksi ini telah menimbulkan kebingungan, dengan 5CA menyarankan bahwa insiden tersebut mungkin berasal dari kesalahan manusia daripada pelanggaran sistem langsung.

Data Apa yang Bocor?

Data yang dicuri mencakup nama, nama pengguna Discord, alamat email, alamat IP, dan transkrip interaksi dukungan pelanggan. Yang lebih kritis, Discord mengidentifikasi sekitar 70.000 pengguna yang gambar KTP-nya (seperti SIM dan paspor) mungkin telah diakses. Informasi penagihan terbatas—jenis pembayaran, empat digit terakhir kartu kredit, dan riwayat pembelian—juga bocor. Discord memastikan bahwa nomor kartu kredit penuh, kata sandi, dan pesan pribadi di luar saluran dukungan tetap aman.

Grup Peretas dan Tuntutan Mereka

Aktor ancaman yang dikenal sebagai Scattered Lapsus$ Hunters (SLH) mengaku bertanggung jawab, dilaporkan sebagai koalisi yang menggabungkan taktik dari Scattered Spider, Lapsus$, dan ShinyHunters—grup yang terkenal karena menargetkan vendor pihak ketiga. SLH mencoba memeras Discord dengan tebusan, awalnya mengklaim mereka memiliki lebih dari 2 juta foto KTP, meskipun investigasi internal Discord menetapkan angka sekitar 70.000. Discord menolak membayar tebusan, dan penegak hukum dilibatkan untuk melacak pelaku.

Tindakan Segera yang Diambil oleh Discord

Setelah penemuan, Discord mencabut akses vendor ke sistem tiketnya dan mengakhiri kemitraan. Perusahaan meluncurkan investigasi internal dengan firma forensik komputer terkemuka dan memberi tahu otoritas perlindungan data yang relevan. Pengguna yang terkena dampak dihubungi melalui email dari noreply@discord.com, dan Discord menekankan bahwa mereka tidak akan pernah menelepon pengguna tentang masalah keamanan. Perusahaan juga menegaskan kembali bahwa infrastruktur intinya tetap tidak terganggu.

Pelajaran bagi Pengguna dan Industri

Insiden ini menggarisbawahi risiko serangan rantai pasokan, di mana penyerang mengeksploitasi mitra pihak ketiga yang kurang aman. Bagi pengguna Discord, pelanggaran ini menyoroti pentingnya mengamankan akun dengan kata sandi yang kuat dan mengaktifkan autentikasi dua faktor. Pengguna juga harus berhati-hati dalam membagikan informasi sensitif seperti KTP, bahkan untuk banding yang sah. Kontradiksi antara pernyataan Discord dan 5CA menunjukkan perlunya manajemen risiko vendor yang lebih transparan dan protokol respons insiden yang kuat di seluruh industri.