Discord: Kẻ tấn công đã truy cập khoảng 70.000 ảnh giấy tờ tùy thân của người dùng
Vi phạm từ nhà cung cấp bên thứ ba làm lộ dữ liệu người dùng
Discord gần đây đã tiết lộ rằng một bên trái phép đã xâm phạm một trong những nhà cung cấp dịch vụ khách hàng bên thứ ba của họ, 5CA, dẫn đến việc lộ khoảng 70.000 ảnh giấy tờ tùy thân của người dùng. Vụ vi phạm xảy ra vào ngày 20 tháng 9 năm 2025, nhắm vào một nhà cung cấp được sử dụng để xác minh độ tuổi và kháng nghị hỗ trợ. Discord nhanh chóng làm rõ rằng nền tảng của họ không bị xâm nhập—cuộc tấn công tập trung vào nhà cung cấp bên thứ ba. Ngay sau khi phát hiện sự cố, Discord đã thu hồi quyền truy cập của nhà cung cấp vào hệ thống ticket, tiến hành điều tra nội bộ và thông báo cho cơ quan thực thi pháp luật. Công ty đang trong quá trình gửi email cho những người dùng bị ảnh hưởng, với các thông báo chính thức chỉ đến từ noreply@discord.com.
Dữ liệu nào đã bị truy cập?
Dữ liệu bị lộ chỉ giới hạn ở thông tin được xử lý bởi hệ thống dịch vụ khách hàng. Điều này bao gồm tên, tên người dùng Discord, địa chỉ email và các thông tin liên lạc khác được cung cấp cho đội ngũ hỗ trợ. Ngoài ra, thông tin thanh toán hạn chế—như loại thanh toán, bốn số cuối của thẻ tín dụng và lịch sử mua hàng—có thể đã bị truy cập. Địa chỉ IP và nội dung tin nhắn trao đổi với nhân viên hỗ trợ cũng bị lộ. Quan trọng nhất, một số lượng nhỏ ảnh giấy tờ tùy thân do chính phủ cấp, như bằng lái xe và hộ chiếu, đã bị xâm phạm. Discord nhấn mạnh rằng không có số thẻ tín dụng đầy đủ, mã CVV, mật khẩu hoặc hoạt động của người dùng ngoài các tương tác hỗ trợ nào bị liên quan.
Tác động đến người dùng và xác minh độ tuổi
Những người dùng bị ảnh hưởng chủ yếu bao gồm những người đã liên hệ với đội ngũ Hỗ trợ Khách hàng hoặc Tin cậy & An toàn của Discord, đặc biệt là cho các kháng nghị liên quan đến độ tuổi. Để tuân thủ các quy định, Discord yêu cầu người dùng xác minh độ tuổi bằng cách tải lên giấy tờ tùy thân do chính phủ cấp. Quy trình này, được thuê ngoài cho các nhà cung cấp bên thứ ba như 5CA, đã tạo ra vectơ cho vụ vi phạm. Kẻ tấn công đã truy cập vào ảnh giấy tờ tùy thân của khoảng 70.000 người dùng, chứa thông tin cá nhân nhạy cảm như họ tên đầy đủ, ngày sinh và địa chỉ vật lý. Điều này làm dấy lên những lo ngại đáng kể về quyền riêng tư, vì dữ liệu bị rò rỉ có thể được sử dụng cho hành vi trộm cắp danh tính hoặc theo dõi. Discord đã chỉ rõ rằng những người dùng bị ảnh hưởng sẽ nhận được email chi tiết về việc liệu giấy tờ tùy thân của họ có bị truy cập hay không.
Phản ứng của Discord và các biện pháp bảo mật
Discord đã hành động nhanh chóng bằng cách thu hồi quyền truy cập của nhà cung cấp bên thứ ba, thuê một công ty pháp y máy tính hàng đầu và thông báo cho các cơ quan bảo vệ dữ liệu có liên quan. Công ty đang phối hợp chặt chẽ với cơ quan thực thi pháp luật để điều tra vụ tấn công, liên quan đến một yêu cầu đòi tiền chuộc. Discord đã tuyên bố sẽ không trả tiền chuộc, gọi đó là một hành vi bất hợp pháp. Trong tương lai, Discord có kế hoạch kiểm tra các hệ thống bên thứ ba thường xuyên hơn để đảm bảo chúng đáp ứng các tiêu chuẩn bảo mật và quyền riêng tư. Công ty cũng khuyến nghị tất cả người dùng luôn cảnh giác với các tin nhắn hoặc liên lạc đáng ngờ có thể là một phần của các nỗ lực lừa đảo liên quan đến vụ vi phạm.
Các kênh liên lạc chính thức
Discord đã cảnh báo rằng họ sẽ chỉ liên hệ với những người dùng bị ảnh hưởng qua email từ noreply@discord.com. Người dùng nên thận trọng với các cuộc gọi điện thoại hoặc email từ các địa chỉ khác tự xưng là về vụ vi phạm. Công ty chưa tiết lộ danh tính của nhà cung cấp bị xâm phạm, nhưng các báo cáo xác nhận đó là 5CA, một công ty dịch vụ khách hàng có trụ sở tại Vương quốc Anh. Các nhà cung cấp bên thứ ba khác, như Zendesk, đã tuyên bố hệ thống của họ không liên quan.
Phản ứng của cộng đồng và chuyên gia
Vụ vi phạm đã gây ra cuộc thảo luận rộng rãi trong số 200 triệu người dùng của Discord, với nhiều người bày tỏ lo ngại về việc xử lý dữ liệu giấy tờ tùy thân nhạy cảm. Một số nhà bình luận trực tuyến cho rằng vụ vi phạm có thể lớn hơn so với công bố, nhưng Discord bác bỏ những tuyên bố này, cho rằng chúng là các nỗ lực tống tiền. Các chuyên gia bảo mật lưu ý rằng sự cố này làm nổi bật rủi ro của việc thuê ngoài xác minh độ tuổi cho bên thứ ba. Việc rò rỉ hơn 100 ảnh giấy tờ tùy thân trên một kênh Telegram, được cho là từ vụ vi phạm, nhấn mạnh những nguy cơ thực tế của việc lộ danh tính. Những người dùng đã gửi giấy tờ tùy thân để xác minh DMCA hoặc độ tuổi đặc biệt dễ bị tổn thương, vì địa chỉ vật lý của họ có thể đang gặp rủi ro.
Người dùng nên làm gì tiếp theo
Nếu bạn nhận được email từ Discord về sự cố này, hãy xem xét kỹ các chi tiết. Thay đổi mật khẩu Discord của bạn và bật xác thực hai yếu tố nếu bạn chưa làm. Theo dõi các tài khoản tài chính của bạn để phát hiện hoạt động đáng ngờ, đặc biệt nếu bạn có thông tin thanh toán liên kết với Discord. Đặc biệt thận trọng với các nỗ lực lừa đảo có thể đề cập đến vụ vi phạm. Đối với những người có ảnh giấy tờ tùy thân bị lộ, hãy cân nhắc đặt cảnh báo gian lận trên hồ sơ tín dụng của bạn và báo cáo bất kỳ hành vi trộm cắp danh tính nào cho các cơ quan có thẩm quyền. Discord tiếp tục hợp tác với cơ quan thực thi pháp luật, nhưng sự cảnh giác của từng cá nhân là chìa khóa để giảm thiểu tác hại tiềm ẩn.