Iamprovider

Discord potwierdza włamanie do dostawcy wsparcia, które ujawniło dane użytkowników i dowody tożsamości

Discord potwierdza włamanie do dostawcy wsparcia, które ujawniło dane użytkowników i dowody tożsamości

Jak doszło do naruszenia danych Discorda

Na początku października 2025 roku Discord potwierdził poważny incydent bezpieczeństwa związany z zewnętrznym dostawcą obsługi klienta, który dotknął użytkowników kontaktujących się z jego zespołami wsparcia lub zaufania i bezpieczeństwa. Naruszenie, do którego doszło 20 września 2025 roku, nie było bezpośrednim włamaniem do wewnętrznych systemów Discorda, ale kompromitacją środowiska zgłoszeń wsparcia dostawcy. Atakujący, identyfikujący się jako Scattered Lapsus$ Hunters (SLH), wykradli około 1,6 terabajta danych, w tym wrażliwe informacje o użytkownikach oraz obrazy dowodów tożsamości używane do odwołań dotyczących weryfikacji wieku.

Dostawca 5CA wskazany jako wektor naruszenia

Discord publicznie wskazał firmę 5CA, holenderską firmę zajmującą się obsługą klienta, jako zewnętrznego dostawcę, którego środowisko zostało naruszone. Zgodnie z zaktualizowanym oświadczeniem Discorda z 9 października 2025 roku, nieupoważniona strona uzyskała dostęp do systemu zgłoszeń 5CA, wchodząc do wewnętrznych paneli, danych płatniczych i zdjęć dowodów tożsamości. Jednak 5CA szybko wydało zaprzeczenie, twierdząc, że jego systemy nie zostały naruszone i że nie obsługuje wydawanych przez rząd dowodów tożsamości dla Discorda. Ta sprzeczność wywołała zamieszanie, a 5CA sugeruje, że incydent może wynikać z błędu ludzkiego, a nie bezpośredniego naruszenia systemu.

Jakie dane zostały ujawnione?

Skradzione dane obejmują imiona i nazwiska, nazwy użytkowników Discorda, adresy e-mail, adresy IP oraz transkrypty interakcji z obsługą klienta. Co bardziej krytyczne, Discord zidentyfikował około 70 000 użytkowników, których obrazy dowodów tożsamości (takie jak prawa jazdy i paszporty) mogły zostać udostępnione. Wyciekły również ograniczone informacje rozliczeniowe – typ płatności, ostatnie cztery cyfry kart kredytowych i historia zakupów. Discord zapewnił, że pełne numery kart kredytowych, hasła i prywatne wiadomości poza kanałami wsparcia pozostały bezpieczne.

Grupa hakerska i jej żądania

Podmiot zagrażający znany jako Scattered Lapsus$ Hunters (SLH) wziął na siebie odpowiedzialność, podobno będąc koalicją łączącą taktyki Scattered Spider, Lapsus$ i ShinyHunters – grup osławionych z ataków na zewnętrznych dostawców. SLH próbował wymusić na Discordzie okup, początkowo twierdząc, że posiada ponad 2 miliony zdjęć dowodów tożsamości, choć wewnętrzne dochodzenie Discorda ustaliło liczbę na około 70 000. Discord odmówił zapłaty okupu, a organy ścigania zostały zaangażowane w tropienie sprawców.

Natychmiastowe działania podjęte przez Discorda

Po odkryciu naruszenia Discord cofnął dostęp dostawcy do swojego systemu zgłoszeń i zakończył współpracę. Firma rozpoczęła wewnętrzne dochodzenie z wiodącą firmą kryminalistyczną i powiadomiła odpowiednie organy ochrony danych. Dotknięci użytkownicy są kontaktowani e-mailem z adresu noreply@discord.com, a Discord podkreślił, że nigdy nie będzie dzwonił do użytkowników w sprawach bezpieczeństwa. Firma ponownie zapewniła, że jej podstawowa infrastruktura pozostała niezagrożona.

Wnioski dla użytkowników i branży

Ten incydent podkreśla ryzyko ataków na łańcuch dostaw, w których atakujący wykorzystują mniej bezpiecznych partnerów zewnętrznych. Dla użytkowników Discorda naruszenie uwypukla znaczenie zabezpieczania kont silnymi hasłami i włączania uwierzytelniania dwuskładnikowego. Użytkownicy powinni również zachować ostrożność przy udostępnianiu wrażliwych informacji, takich jak dowody tożsamości, nawet w przypadku uzasadnionych odwołań. Sprzeczność między oświadczeniami Discorda i 5CA wskazuje na potrzebę bardziej przejrzystego zarządzania ryzykiem związanym z dostawcami i solidnych protokołów reagowania na incydenty w całej branży.