Хакери стверджують, що витік даних Discord торкнувся 5,5 мільйонів користувачів

Хакери стверджують, що витік даних Discord торкнувся 5,5 мільйонів користувачів

Витік даних Discord: що сталося і що потрібно знати користувачам

У жовтні 2025 року Discord повідомив про значний витік даних, який торкнувся користувачів, що взаємодіяли з його службою підтримки та командами Trust & Safety. Хоча компанія спочатку повідомила, що приблизно 70 000 користувачів могли мати чутливі дані, такі як фото посвідчень, хакери стверджували, що вкрали дані 5,5 мільйонів користувачів. Ця невідповідність викликала занепокоєння та плутанину. Discord заявив, що витік не був прямою атакою на його платформу, а скоріше компрометацією стороннього постачальника послуг підтримки клієнтів, 5CA.

Зловмисники отримали доступ до системи тикетів, яку використовувала служба підтримки Discord, отримавши доступ до повідомлень, імен користувачів, адрес електронної пошти, а в деяких випадках — обмеженої платіжної інформації та зображень посвідчень, наданих для вікової верифікації. Discord відкликав доступ постачальника, розпочав розслідування за участю експертів з криміналістики та співпрацює з правоохоронними органами.

Не витік Discord, а інцидент стороннього постачальника

Discord наполягає, що його власні системи не були зламані. Натомість атака була спрямована на стороннього постачальника послуг підтримки клієнтів, 5CA. Це поширений вектор витоків даних, коли зловмисники використовують найслабшу ланку в ланцюжку постачання. Невстановлена сторона використовувала методи соціальної інженерії, щоб отримати доступ до системи тикетів підтримки Discord, а не експлуатувала вразливість у власному коді Discord. Це розмежування важливе: основні системи обміну повідомленнями та автентифікації Discord залишилися захищеними. Однак для користувачів, які зверталися до служби підтримки, їхні дані були розкриті. Інцидент підкреслює ризики обміну даними з третіми сторонами та необхідність суворих аудитів безпеки постачальників.

Чутливі дані, що потрапили під загрозу: посвідчення, платіжна інформація та інше

Витік розкрив низку даних користувачів, переважно тих, хто спілкувався зі службою підтримки клієнтів або командами Trust & Safety Discord. Скомпрометовані дані включають:

  • Імена, імена користувачів Discord, адреси електронної пошти та інші контактні дані, надані службі підтримки
  • Обмежену платіжну інформацію, таку як тип платежу, останні чотири цифри кредитної картки та історію покупок
  • IP-адреси
  • Повідомлення, обміняні з агентами підтримки
  • Зображення посвідчень для приблизно 70 000 користувачів, які оскаржували визначення віку

Примітно, що паролі, повні номери кредитних карток та приватні повідомлення між користувачами не були скомпрометовані. Фото посвідчень викликають особливе занепокоєння, оскільки їх можна використати для крадіжки особистих даних. Discord заявив, що повідомить постраждалих користувачів електронною поштою з адреси 'noreply@discord.com'.

Заяви хакерів: 5,5 мільйонів проти 70 000

Хакери, ймовірно, група відома як Scattered Lapsu$ Hunters (SLH), стверджували, що вкрали дані 5,5 мільйонів користувачів, що значно перевищує визнаний Discord вплив приблизно на 70 000. Вони також стверджували, що мають 1,5 терабайта даних. Discord відкинув ці заяви як 'неправильні та частину спроби вимагати виплату'. Однак експерти з безпеки зазначають, що фактична кількість постраждалих користувачів може бути більшою, якщо зловмисники отримали доступ до ширшого кола тикетів підтримки. Discord не надав детальної розбивки, залишаючи певну невизначеність. Користувачам слід бути пильними та подумати, чи зверталися вони до служби підтримки Discord у минулому.

Хто такі хакери?

Група описується як коаліція, що поєднує тактики Scattered Spider, Lapsu$ та ShinyHunters. Вони покладаються на соціальну інженерію, а не на шкідливе програмне забезпечення, націлюючись на сторонніх постачальників, щоб дістатися до більших цілей. Це зростаюча тенденція в кіберзлочинності, яка обходить посилений захист, атакуючи менш захищених партнерів.

Реакція Discord: швидкі дії та подальші кроки

Discord діяв швидко після виявлення витоку. Він відкликав доступ стороннього постачальника, розпочав внутрішнє розслідування за підтримки експертів з криміналістики та залучив правоохоронні органи. Компанія також повідомила відповідні органи захисту даних і зараз зв'язується з постраждалими користувачами. Discord запевнив користувачів, що не зв'язуватиметься з ними телефоном, а офіційні повідомлення надходитимуть лише з 'noreply@discord.com'. Для користувачів, які не постраждали, жодних дій не потрібно. Однак Discord рекомендує всім користувачам бути обережними щодо підозрілих повідомлень або електронних листів.

Уроки для користувачів: як захистити себе після витоку

Цей інцидент нагадує, що навіть якщо сама платформа безпечна, інтеграції з третіми сторонами можуть бути вразливими. Ось кроки, які можуть вжити користувачі:

  • Стережіться фішингових атак: Будьте обережні з несподіваними електронними листами або повідомленнями, які нібито від Discord, особливо тими, що запитують особисту інформацію.
  • Використовуйте унікальні паролі: Увімкніть двофакторну автентифікацію для свого облікового запису Discord.
  • Перегляньте взаємодії з підтримкою: Якщо ви надали чутливі дані службі підтримки Discord, будьте особливо обережні щодо крадіжки особистих даних.
  • Контролюйте фінансові рахунки: Хоча повні номери кредитних карток не були розкриті, обмежена платіжна інформація може бути використана в цілеспрямованих атаках.

Discord заявив, що більше не використовуватиме скомпрометовану систему для вікової верифікації та перейшов на спеціалізованих постачальників, таких як k-ID та Persona. Компанія також заявляє, що видалятиме зображення посвідчень після верифікації, щоб мінімізувати майбутні ризики.

Загальна картина: ризики третіх сторін та конфіденційність даних

Цей витік підкреслює зростаючу проблему ризиків третіх сторін у цифровій екосистемі. Такі компанії, як Discord, можуть мати сильний внутрішній захист, але один постачальник зі слабкими засобами контролю може піддати ризику мільйони користувачів. Інцидент також відновлює дебати щодо систем вікової верифікації, які вимагають збору чутливих біометричних даних. Цифрові правозахисники попереджають, що такі системи створюють приманки для зловмисників. Для користувачів висновок: бути розсудливими щодо інформації, якою вони діляться з будь-яким онлайн-сервісом, особливо чутливими посвідченнями. Оскільки Discord та інші платформи продовжують вдосконалювати свої практики безпеки, ця подія, ймовірно, вплине на те, як вони перевірятимуть та керуватимуть сторонніми постачальниками в майбутньому.