Iamprovider

Discord підтверджує злом вендора підтримки, який викрив дані користувачів та державні посвідчення

Discord підтверджує злом вендора підтримки, який викрив дані користувачів та державні посвідчення

Як стався витік даних Discord

На початку жовтня 2025 року Discord підтвердив значний інцидент безпеки, пов'язаний із стороннім вендором служби підтримки клієнтів, який торкнувся користувачів, що зверталися до служби підтримки або відділу довіри та безпеки. Витік, що стався 20 вересня 2025 року, не був прямим вторгненням у внутрішні системи Discord, а скоріше компрометацією середовища служби підтримки вендора. Зловмисники, які назвали себе Scattered Lapsus$ Hunters (SLH), викрали приблизно 1,6 терабайта даних, включаючи конфіденційну інформацію користувачів та зображення державних посвідчень, що використовувалися для апеляцій щодо вікової верифікації.

Вендор 5CA названий вектором витоку

Discord публічно назвав 5CA, нідерландську компанію з досвіду клієнтів, як стороннього провайдера, чиє середовище було зламано. Згідно з оновленою заявою Discord від 9 жовтня 2025 року, несанкціонована сторона отримала доступ до системи служби підтримки 5CA, отримавши доступ до внутрішніх панелей, платіжних даних та фотографій державних посвідчень. Однак 5CA швидко спростувала це, заявивши, що її системи не були скомпрометовані і що вона не обробляє державні посвідчення для Discord. Це протиріччя викликало плутанину, причому 5CA припускає, що інцидент може бути пов'язаний з людською помилкою, а не з прямим зломом системи.

Які дані були викриті?

Викрадені дані включають імена, імена користувачів Discord, адреси електронної пошти, IP-адреси та стенограми взаємодії зі службою підтримки. Що більш критично, Discord виявив приблизно 70 000 користувачів, чиї зображення державних посвідчень (такі як водійські права та паспорти) могли бути доступні. Також було викрито обмежену платіжну інформацію — тип платежу, останні чотири цифри кредитних карток та історію покупок. Discord запевнив, що повні номери кредитних карток, паролі та приватні повідомлення поза каналами підтримки залишилися в безпеці.

Хакерська група та їхні вимоги

За відповідальність взявся загрозливий актор, відомий як Scattered Lapsus$ Hunters (SLH), який, за повідомленнями, є коаліцією, що поєднує тактики Scattered Spider, Lapsus$ та ShinyHunters — груп, відомих атаками на сторонніх вендорів. SLH намагалися вимагати викуп у Discord, спочатку стверджуючи, що мають понад 2 мільйони фотографій державних посвідчень, хоча внутрішнє розслідування Discord встановило цифру близько 70 000. Discord відмовився платити викуп, і до розслідування були залучені правоохоронні органи.

Негайні дії Discord

Після виявлення Discord відкликав доступ вендора до своєї системи тікетів та припинив партнерство. Компанія розпочала внутрішнє розслідування за участю провідної компанії з комп'ютерної криміналістики та повідомила відповідні органи захисту даних. Постраждалі користувачі отримують сповіщення електронною поштою з адреси noreply@discord.com, і Discord наголосив, що ніколи не телефонуватиме користувачам з питань безпеки. Компанія також підкреслила, що її основна інфраструктура залишилася нескомпрометованою.

Уроки для користувачів та індустрії

Цей інцидент підкреслює ризики атак на ланцюг постачання, коли зловмисники використовують менш захищених сторонніх партнерів. Для користувачів Discord витік вказує на важливість захисту облікових записів надійними паролями та увімкнення двофакторної автентифікації. Користувачам також слід бути обережними при наданні конфіденційної інформації, як-от державні посвідчення, навіть для законних апеляцій. Протиріччя між заявами Discord та 5CA вказує на необхідність більш прозорого управління ризиками вендорів та надійних протоколів реагування на інциденти в усій індустрії.