แฮกเกอร์อ้างว่าการละเมิด Discord เปิดเผยข้อมูลผู้ใช้ 5.5 ล้านคน

แฮกเกอร์อ้างว่าการละเมิด Discord เปิดเผยข้อมูลผู้ใช้ 5.5 ล้านคน

การละเมิด Discord: เกิดอะไรขึ้นและสิ่งที่ผู้ใช้ต้องรู้

ในเดือนตุลาคม 2025 Discord เปิดเผยการละเมิดข้อมูลครั้งใหญ่ที่ส่งผลกระทบต่อผู้ใช้ที่เคยติดต่อกับทีมสนับสนุนลูกค้าและทีม Trust & Safety แม้ว่าบริษัทจะรายงานเบื้องต้นว่าผู้ใช้ประมาณ 70,000 รายอาจมีข้อมูลที่ละเอียดอ่อน เช่น รูปถ่ายบัตรประจำตัวประชาชนถูกเปิดเผย แต่แฮกเกอร์อ้างว่าขโมยข้อมูลของผู้ใช้ 5.5 ล้านคน ความแตกต่างนี้ทำให้เกิดความกังวลและความสับสน Discord ระบุว่าการละเมิดนี้ไม่ใช่การโจมตีโดยตรงต่อแพลตฟอร์ม แต่เป็นการประนีประนอมของผู้ให้บริการบุคคลที่สามชื่อ 5CA

ผู้โจมตีเข้าถึงระบบตั๋วที่ทีมสนับสนุนของ Discord ใช้ ทำให้เข้าถึงข้อความ ชื่อผู้ใช้ ที่อยู่อีเมล และในบางกรณี ข้อมูลการเรียกเก็บเงินแบบจำกัดและรูปถ่ายบัตรประจำตัวประชาชนที่ส่งเพื่อยืนยันอายุ Discord ได้เพิกถอนการเข้าถึงของผู้ให้บริการ เปิดการสอบสวนกับบริษัทนิติเวช และทำงานร่วมกับหน่วยงานบังคับใช้กฎหมาย

ไม่ใช่การละเมิด Discord แต่เป็นเหตุการณ์จากบุคคลที่สาม

Discord ยืนยันว่าระบบของตัวเองไม่ถูกเจาะ แต่การโจมตีมุ่งเป้าไปที่ผู้ให้บริการบุคคลที่สามชื่อ 5CA นี่เป็นช่องทางทั่วไปสำหรับการละเมิดข้อมูล โดยผู้โจมตีใช้ประโยชน์จากจุดอ่อนที่สุดในห่วงโซ่อุปทาน ฝ่ายที่ไม่ได้รับอนุญาตใช้กลวิธีทางวิศวกรรมสังคมเพื่อเข้าถึงระบบตั๋วสนับสนุนของ Discord ไม่ใช่การใช้ช่องโหว่ในโค้ดของ Discord ความแตกต่างนี้สำคัญ: ระบบส่งข้อความหลักและการยืนยันตัวตนของ Discord ยังคงปลอดภัย อย่างไรก็ตาม สำหรับผู้ใช้ที่เคยติดต่อฝ่ายสนับสนุน ข้อมูลของพวกเขาถูกเปิดเผย เหตุการณ์นี้เน้นย้ำถึงความเสี่ยงของการแบ่งปันข้อมูลกับบุคคลที่สามและความจำเป็นในการตรวจสอบความปลอดภัยของผู้ขายอย่างเข้มงวด

ข้อมูลที่ละเอียดอ่อนถูกเปิดเผย: บัตรประจำตัว ข้อมูลการเรียกเก็บเงิน และอื่นๆ

การละเมิดเปิดเผยข้อมูลผู้ใช้หลายประเภท โดยเฉพาะจากผู้ที่เคยติดต่อกับทีมสนับสนุนลูกค้าหรือ Trust & Safety ของ Discord ข้อมูลที่ถูกบุกรุกประกอบด้วย:

  • ชื่อ ชื่อผู้ใช้ Discord ที่อยู่อีเมล และรายละเอียดการติดต่ออื่นๆ ที่ให้ไว้กับฝ่ายสนับสนุน
  • ข้อมูลการเรียกเก็บเงินแบบจำกัด เช่น ประเภทการชำระเงิน เลขสี่หลักสุดท้ายของบัตรเครดิต และประวัติการซื้อ
  • ที่อยู่ IP
  • ข้อความที่แลกเปลี่ยนกับเจ้าหน้าที่สนับสนุน
  • รูปถ่ายบัตรประจำตัวประชาชนสำหรับผู้ใช้ประมาณ 70,000 รายที่อุทธรณ์การกำหนดอายุ

ที่น่าสังเกตคือ รหัสผ่าน หมายเลขบัตรเครดิตเต็ม และข้อความส่วนตัวระหว่างผู้ใช้ไม่ถูกบุกรุก รูปถ่ายบัตรประจำตัวเป็นเรื่องที่น่ากังวลเป็นพิเศษ เพราะสามารถใช้ในการขโมยข้อมูลส่วนตัว Discord ระบุว่าจะแจ้งผู้ใช้ที่ได้รับผลกระทบทางอีเมลจาก 'noreply@discord.com'

ข้อกล่าวอ้างของแฮกเกอร์: 5.5 ล้านเทียบกับ 70,000

แฮกเกอร์ ซึ่งรายงานว่าเป็นกลุ่มที่รู้จักในชื่อ Scattered Lapsu$ Hunters (SLH) อ้างว่าขโมยข้อมูลผู้ใช้ 5.5 ล้านคน ซึ่งมากกว่าที่ Discord ยอมรับว่ามีผลกระทบประมาณ 70,000 ราย พวกเขายังอ้างว่ามีข้อมูล 1.5 เทราไบต์ Discord ปฏิเสธข้อกล่าวอ้างเหล่านี้ว่า 'ไม่ถูกต้องและเป็นส่วนหนึ่งของความพยายามกรรโชกเงิน' อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยชี้ว่าจำนวนผู้ใช้ที่ได้รับผลกระทบจริงอาจมากกว่านี้หากผู้โจมตีเข้าถึงตั๋วสนับสนุนในวงกว้าง Discord ยังไม่ได้ให้รายละเอียดที่ชัดเจน ทำให้เกิดความไม่แน่นอน ผู้ใช้ควรระมัดระวังและพิจารณาว่าเคยติดต่อฝ่ายสนับสนุนของ Discord ในอดีตหรือไม่

แฮกเกอร์คือใคร?

กลุ่มนี้ถูกอธิบายว่าเป็นพันธมิตรที่รวมกลวิธีจาก Scattered Spider, Lapsu$ และ ShinyHunters พวกเขาอาศัยวิศวกรรมสังคมมากกว่ามัลแวร์ โดยกำหนดเป้าหมายผู้ขายบุคคลที่สามเพื่อไปยังเป้าหมายที่ใหญ่กว่า นี่เป็นแนวโน้มที่เพิ่มขึ้นในอาชญากรรมไซเบอร์ โดยเลี่ยงการป้องกันที่แข็งแกร่งโดยการโจมตีพาร์ทเนอร์ที่ปลอดภัยน้อยกว่า

การตอบสนองของ Discord: การดำเนินการอย่างรวดเร็วและขั้นตอนถัดไป

Discord ดำเนินการอย่างรวดเร็วเมื่อพบการละเมิด โดยเพิกถอนการเข้าถึงของผู้ให้บริการบุคคลที่สาม เปิดการสอบสวนภายในด้วยการสนับสนุนจากผู้เชี่ยวชาญด้านนิติเวช และประสานงานกับหน่วยงานบังคับใช้กฎหมาย บริษัทยังแจ้งหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้องและกำลังติดต่อผู้ใช้ที่ได้รับผลกระทบ Discord ยืนยันว่าจะไม่ติดต่อผู้ใช้ทางโทรศัพท์ และการสื่อสารอย่างเป็นทางการมาจาก 'noreply@discord.com' เท่านั้น สำหรับผู้ใช้ที่ไม่ได้รับผลกระทบ ไม่จำเป็นต้องดำเนินการใดๆ อย่างไรก็ตาม Discord แนะนำให้ผู้ใช้ทุกคนระวังข้อความหรืออีเมลที่น่าสงสัย

บทเรียนสำหรับผู้ใช้: วิธีป้องกันตัวเองหลังการละเมิด

เหตุการณ์นี้เป็นเครื่องเตือนใจว่าแม้แพลตฟอร์มจะปลอดภัย แต่การรวมระบบของบุคคลที่สามอาจเสี่ยงได้ นี่คือขั้นตอนที่ผู้ใช้สามารถทำได้:

  • ระวังการโจมตีแบบฟิชชิ่ง: ระวังอีเมลหรือข้อความที่ไม่คาดคิดที่อ้างว่ามาจาก Discord โดยเฉพาะที่ขอข้อมูลส่วนตัว
  • ใช้รหัสผ่านที่ไม่ซ้ำ: เปิดใช้งานการยืนยันตัวตนสองปัจจัยในบัญชี Discord ของคุณ
  • ตรวจสอบการโต้ตอบกับฝ่ายสนับสนุน: หากคุณเคยแชร์ข้อมูลที่ละเอียดอ่อนกับฝ่ายสนับสนุนของ Discord ให้ระวังการขโมยข้อมูลส่วนตัวเป็นพิเศษ
  • ตรวจสอบบัญชีการเงิน: แม้ว่าหมายเลขบัตรเครดิตเต็มจะไม่ถูกเปิดเผย แต่ข้อมูลการเรียกเก็บเงินแบบจำกัดอาจถูกใช้ในการโจมตีแบบเจาะจง

Discord ระบุว่าจะไม่ใช้ระบบที่ถูกบุกรุกสำหรับการยืนยันอายุอีกต่อไป และได้ย้ายไปใช้ผู้ขายเฉพาะ เช่น k-ID และ Persona บริษัทยังกล่าวว่าจะลบรูปถ่ายบัตรประจำตัวประชาชนหลังการยืนยันเพื่อลดความเสี่ยงในอนาคต

ภาพรวม: ความเสี่ยงจากบุคคลที่สามและความเป็นส่วนตัวของข้อมูล

การละเมิดนี้เน้นย้ำถึงความท้าทายที่เพิ่มขึ้นของความเสี่ยงจากบุคคลที่สามในระบบนิเวศดิจิทัล บริษัทอย่าง Discord สามารถมีความปลอดภัยภายในที่แข็งแกร่ง แต่ผู้ขายรายเดียวที่มีการควบคุมที่อ่อนแอสามารถเปิดเผยผู้ใช้หลายล้านคน เหตุการณ์นี้ยังจุดประเด็นการถกเถียงเกี่ยวกับระบบยืนยันอายุ ซึ่งต้องเก็บรวบรวมข้อมูลชีวมิติที่ละเอียดอ่อน นักเคลื่อนไหวด้านสิทธิ์ดิจิทัลเตือนว่าระบบดังกล่าวสร้างเป้าหมายสำหรับผู้โจมตี สำหรับผู้ใช้ ข้อควรจำคือต้องพิจารณาอย่างรอบคอบเกี่ยวกับข้อมูลที่แบ่งปันกับบริการออนไลน์ใดๆ โดยเฉพาะบัตรประจำตัวที่ละเอียดอ่อน ในขณะที่ Discord และแพลตฟอร์มอื่นๆ พัฒนาแนวปฏิบัติด้านความปลอดภัยต่อไป เหตุการณ์นี้น่าจะมีอิทธิพลต่อวิธีการตรวจสอบและจัดการผู้ขายบุคคลที่สามในอนาคต