Peretas Klaim Pelanggaran Discord Ekspos Data 5,5 Juta Pengguna
Pelanggaran Discord: Apa yang Terjadi dan yang Perlu Diketahui Pengguna
Pada Oktober 2025, Discord mengungkapkan pelanggaran data signifikan yang memengaruhi pengguna yang pernah berinteraksi dengan tim dukungan pelanggan dan Trust & Safety. Meskipun perusahaan awalnya melaporkan bahwa sekitar 70.000 pengguna mungkin telah mengekspos data sensitif seperti foto KTP pemerintah, peretas mengklaim telah mencuri data milik 5,5 juta pengguna. Perbedaan ini telah memicu kekhawatiran dan kebingungan. Discord menyatakan bahwa pelanggaran ini bukan serangan langsung ke platformnya, melainkan kompromi terhadap penyedia layanan pelanggan pihak ketiga, 5CA.
Para penyerang mengakses sistem tiket yang digunakan oleh tim dukungan Discord, mendapatkan akses ke pesan, nama pengguna, alamat email, dan dalam beberapa kasus, informasi penagihan terbatas serta gambar KTP pemerintah yang diajukan untuk verifikasi usia. Discord telah mencabut akses penyedia tersebut, meluncurkan investigasi dengan firma forensik, dan bekerja sama dengan penegak hukum.
Bukan Pelanggaran Discord, Melainkan Insiden Pihak Ketiga
Discord bersikeras bahwa sistemnya sendiri tidak dibobol. Sebaliknya, serangan menargetkan penyedia layanan pelanggan pihak ketiga, 5CA. Ini adalah vektor umum untuk pelanggaran data, di mana penyerang mengeksploitasi tautan terlemah dalam rantai pasokan. Pihak yang tidak berwenang menggunakan taktik rekayasa sosial untuk mendapatkan akses ke sistem tiket dukungan Discord, bukan dengan mengeksploitasi kerentanan dalam kode Discord sendiri. Perbedaan ini penting: sistem inti perpesanan dan autentikasi Discord tetap aman. Namun, bagi pengguna yang pernah menghubungi dukungan, data mereka terekspos. Insiden ini menyoroti risiko berbagi data dengan pihak ketiga dan perlunya audit keamanan vendor yang ketat.
Data Sensitif yang Terekspos: KTP, Info Penagihan, dan Lainnya
Pelanggaran ini mengekspos berbagai data pengguna, terutama dari mereka yang pernah berkomunikasi dengan tim Dukungan Pelanggan atau Trust & Safety Discord. Data yang dikompromikan meliputi:
- Nama, nama pengguna Discord, alamat email, dan detail kontak lain yang diberikan ke dukungan
- Informasi penagihan terbatas seperti jenis pembayaran, empat digit terakhir kartu kredit, dan riwayat pembelian
- Alamat IP
- Pesan yang dipertukarkan dengan agen dukungan
- Gambar KTP pemerintah untuk sekitar 70.000 pengguna yang mengajukan banding penentuan usia
Yang perlu dicatat, kata sandi, nomor kartu kredit penuh, dan pesan pribadi antar pengguna tidak dikompromikan. Foto KTP sangat mengkhawatirkan karena dapat digunakan untuk pencurian identitas. Discord menyatakan akan memberi tahu pengguna yang terkena dampak melalui email dari 'noreply@discord.com'.
Klaim Peretas: 5,5 Juta Versus 70.000
Para peretas, yang dilaporkan sebagai kelompok bernama Scattered Lapsu$ Hunters (SLH), mengklaim telah mencuri data 5,5 juta pengguna, jauh melebihi dampak yang diakui Discord yaitu sekitar 70.000. Mereka juga mengklaim memiliki 1,5 terabyte data. Discord membantah klaim ini sebagai 'tidak benar dan bagian dari upaya memeras pembayaran.' Namun, pakar keamanan mencatat bahwa jumlah pengguna yang terkena dampak sebenarnya bisa lebih besar jika penyerang mengakses rentang tiket dukungan yang lebih luas. Discord belum memberikan rincian terperinci, meninggalkan ketidakpastian. Pengguna harus tetap waspada dan mempertimbangkan apakah mereka pernah menghubungi dukungan Discord di masa lalu.
Siapa Peretasnya?
Kelompok ini digambarkan sebagai koalisi yang menggabungkan taktik dari Scattered Spider, Lapsu$, dan ShinyHunters. Mereka mengandalkan rekayasa sosial daripada malware, menargetkan vendor pihak ketiga untuk mencapai target yang lebih besar. Ini adalah tren yang berkembang dalam kejahatan siber, melewati pertahanan yang diperkuat dengan menyerang mitra yang kurang aman.
Tanggapan Discord: Tindakan Cepat dan Langkah Selanjutnya
Discord bertindak cepat setelah menemukan pelanggaran. Mereka mencabut akses penyedia pihak ketiga, meluncurkan investigasi internal dengan dukungan forensik ahli, dan melibatkan penegak hukum. Perusahaan juga memberi tahu otoritas perlindungan data yang relevan dan sedang dalam proses menghubungi pengguna yang terkena dampak. Discord meyakinkan pengguna bahwa mereka tidak akan menghubungi melalui telepon dan bahwa komunikasi resmi hanya berasal dari 'noreply@discord.com'. Bagi pengguna yang tidak terkena dampak, tidak ada tindakan yang diperlukan. Namun, Discord merekomendasikan semua pengguna tetap waspada terhadap pesan atau email mencurigakan.
Pelajaran bagi Pengguna: Cara Melindungi Diri Setelah Pelanggaran
Insiden ini menjadi pengingat bahwa meskipun platform itu sendiri aman, integrasi pihak ketiga bisa rentan. Berikut langkah yang dapat diambil pengguna:
- Waspadai upaya phishing: Hati-hati dengan email atau pesan tak terduga yang mengaku dari Discord, terutama yang meminta informasi pribadi.
- Gunakan kata sandi unik: Aktifkan autentikasi dua faktor di akun Discord Anda.
- Tinjau interaksi dukungan: Jika Anda pernah membagikan data sensitif ke dukungan Discord, waspada ekstra terhadap pencurian identitas.
- Pantau akun keuangan: Meskipun nomor kartu kredit penuh tidak terekspos, info penagihan terbatas bisa digunakan dalam serangan yang ditargetkan.
Discord menyatakan tidak akan lagi menggunakan sistem yang dikompromikan untuk verifikasi usia dan telah beralih ke vendor khusus seperti k-ID dan Persona. Perusahaan juga mengatakan akan menghapus gambar KTP pemerintah setelah verifikasi untuk meminimalkan risiko di masa depan.
Gambaran Lebih Besar: Risiko Pihak Ketiga dan Privasi Data
Pelanggaran ini menggarisbawahi tantangan yang berkembang dari risiko pihak ketiga dalam ekosistem digital. Perusahaan seperti Discord dapat memiliki keamanan internal yang kuat, tetapi satu vendor dengan kontrol lemah dapat mengekspos jutaan pengguna. Insiden ini juga memicu kembali perdebatan tentang sistem verifikasi usia, yang memerlukan pengumpulan data biometrik sensitif. Aktivis hak digital memperingatkan bahwa sistem semacam itu menciptakan sarang madu bagi penyerang. Bagi pengguna, pesannya adalah berhati-hati dengan informasi yang mereka bagikan ke layanan online mana pun, terutama KTP sensitif. Saat Discord dan platform lain terus mengembangkan praktik keamanan mereka, peristiwa ini kemungkinan akan memengaruhi cara mereka memeriksa dan mengelola vendor pihak ketiga ke depannya.