Discord: Saldırganlar yaklaşık 70.000 kullanıcı fotoğraflı kimlik belgesine erişti

Discord: Saldırganlar yaklaşık 70.000 kullanıcı fotoğraflı kimlik belgesine erişti

Üçüncü Taraf Satıcı İhlali Kullanıcı Verilerini Açığa Çıkarıyor

Discord, üçüncü taraf müşteri hizmetleri sağlayıcılarından biri olan 5CA'nın yetkisiz bir kişi tarafından ele geçirildiğini ve bunun sonucunda yaklaşık 70.000 kullanıcının devlet kimlik fotoğrafının ifşa olduğunu duyurdu. 20 Eylül 2025'te meydana gelen ihlal, yaş doğrulaması ve destek itirazları için kullanılan bir satıcıyı hedef aldı. Discord, kendi platformunun sızmadığını, saldırının üçüncü taraf sağlayıcıya odaklandığını hızla açıkladı. Olayı keşfettikten hemen sonra Discord, satıcının bilet sistemine erişimini iptal etti, dahili bir soruşturma başlattı ve kolluk kuvvetlerine haber verdi. Şirket, etkilenen kullanıcılara e-posta gönderme sürecindedir ve resmi iletişimler yalnızca noreply@discord.com adresinden gelecektir.

Hangi Verilere Erişildi?

İfşa olan veriler, müşteri hizmetleri sistemi tarafından işlenen bilgilerle sınırlıdır. Bu, destek ekiplerine sağlanan adlar, Discord kullanıcı adları, e-posta adresleri ve diğer iletişim bilgilerini içerir. Ayrıca, ödeme türü, kredi kartı numaralarının son dört hanesi ve satın alma geçmişi gibi sınırlı fatura bilgilerine de erişilmiş olabilir. Müşteri hizmetleri temsilcileriyle paylaşılan IP adresleri ve mesaj içerikleri de ifşa oldu. En kritik olarak, ehliyet ve pasaport gibi az sayıda devlet kimlik görseli tehlikeye girdi. Discord, tam kredi kartı numaraları, CVV kodları, şifreler veya destek etkileşimleri dışındaki kullanıcı etkinliklerinin dahil olmadığını vurguladı.

Kullanıcılar ve Yaş Doğrulaması Üzerindeki Etki

Etkilenen kullanıcılar öncelikle Discord'un Müşteri Desteği veya Güven ve Güvenlik ekipleriyle, özellikle yaşla ilgili itirazlar için iletişime geçenleri kapsar. Düzenlemelere uymak için Discord, kullanıcıların devlet tarafından verilen kimlikleri yükleyerek yaşlarını doğrulamalarını gerektirir. 5CA gibi üçüncü taraf satıcılara yaptırılan bu süreç, ihlal için vektör oluşturdu. Saldırgan, tam adlar, doğum tarihleri ve fiziksel adresler gibi hassas kişisel bilgiler içeren yaklaşık 70.000 kullanıcının kimlik fotoğraflarına erişti. Bu, sızdırılan verilerin kimlik hırsızlığı veya takip için kullanılabileceğinden önemli gizlilik endişeleri yaratıyor. Discord, etkilenen kullanıcıların kimliklerine erişilip erişilmediğini belirten bir e-posta alacağını belirtti.

Discord'un Yanıtı ve Güvenlik Önlemleri

Discord, üçüncü taraf sağlayıcının erişimini iptal ederek, önde gelen bir adli bilişim firmasıyla anlaşarak ve ilgili veri koruma yetkililerine bildirimde bulunarak hızlı hareket etti. Şirket, bir fidye talebini içeren saldırıyı araştırmak için kolluk kuvvetleriyle yakın işbirliği içinde çalışıyor. Discord, fidyeyi ödemeyeceğini belirterek bunu yasa dışı bir eylem olarak nitelendirdi. Gelecekte Discord, güvenlik ve gizlilik standartlarını karşıladıklarından emin olmak için üçüncü taraf sistemlerini daha sık denetlemeyi planlıyor. Şirket ayrıca tüm kullanıcıların, ihlalle ilgili kimlik avı girişimlerinin parçası olabilecek şüpheli mesaj veya iletişimlere karşı dikkatli olmalarını öneriyor.

Resmi İletişim Kanalları

Discord, etkilenen kullanıcılarla yalnızca noreply@discord.com adresinden e-posta yoluyla iletişime geçeceği konusunda uyardı. Kullanıcılar, ihlalle ilgili olduğunu iddia eden diğer adreslerden gelen telefon aramalarına veya e-postalara karşı dikkatli olmalıdır. Şirket, tehlikeye giren satıcının kimliğini açıklamadı ancak raporlar, bunun Birleşik Krallık merkezli bir müşteri hizmetleri firması olan 5CA olduğunu doğruluyor. Zendesk gibi diğer üçüncü taraf sağlayıcılar, sistemlerinin dahil olmadığını belirtti.

Topluluk ve Uzman Tepkileri

İhlal, Discord'un 200 milyon kullanıcısı arasında geniş çapta tartışmalara yol açtı ve birçoğu hassas kimlik verilerinin işlenmesiyle ilgili endişelerini dile getirdi. Bazı çevrimiçi yorumcular, ihlalin açıklanandan daha kapsamlı olabileceğini öne sürdü ancak Discord bu iddiaları reddederek bunları gasp girişimlerine bağladı. Güvenlik uzmanları, bu olayın yaş doğrulamasının üçüncü taraflara yaptırılmasının risklerini vurguladığını belirtiyor. İddiaya göre ihlalden kaynaklanan 100'den fazla kimlik görselinin bir Telegram kanalında sızdırılması, kimlik ifşasının gerçek dünyadaki tehlikelerini gözler önüne seriyor. DMCA veya yaş doğrulaması için kimlik gönderen kullanıcılar, fiziksel adresleri artık risk altında olabileceğinden özellikle savunmasızdır.

Kullanıcıların Bundan Sonra Ne Yapması Gerekiyor

Discord'dan bu olayla ilgili bir e-posta alırsanız, ayrıntıları dikkatlice inceleyin. Discord şifrenizi değiştirin ve henüz yapmadıysanız iki faktörlü kimlik doğrulamayı etkinleştirin. Özellikle Discord'a bağlı fatura bilgileriniz varsa, finansal hesaplarınızı şüpheli etkinliklere karşı izleyin. İhlale atıfta bulunabilecek kimlik avı girişimlerine karşı ekstra dikkatli olun. Kimlik fotoğrafları ifşa olanlar için, kredi dosyanıza bir dolandırıcılık uyarısı koymayı düşünün ve herhangi bir kimlik hırsızlığını ilgili makamlara bildirin. Discord, kolluk kuvvetleriyle işbirliğine devam ediyor ancak olası zararı azaltmak için bireysel dikkat çok önemlidir.