Tin tặc tuyên bố vụ vi phạm Discord làm lộ dữ liệu của 5,5 triệu người dùng

Tin tặc tuyên bố vụ vi phạm Discord làm lộ dữ liệu của 5,5 triệu người dùng

Vụ vi phạm Discord: Điều gì đã xảy ra và người dùng cần biết

Vào tháng 10 năm 2025, Discord đã tiết lộ một vụ vi phạm dữ liệu lớn ảnh hưởng đến những người dùng đã tương tác với đội ngũ hỗ trợ khách hàng và Trust & Safety của mình. Trong khi công ty ban đầu báo cáo rằng khoảng 70.000 người dùng có thể đã bị lộ dữ liệu nhạy cảm như ảnh chứng minh thư, tin tặc tuyên bố đã đánh cắp dữ liệu của 5,5 triệu người dùng. Sự khác biệt này đã gây ra lo ngại và nhầm lẫn. Discord đã tuyên bố rằng vụ vi phạm không phải là một cuộc tấn công trực tiếp vào nền tảng của họ mà là sự xâm phạm của một nhà cung cấp dịch vụ khách hàng bên thứ ba, 5CA.

Những kẻ tấn công đã truy cập vào hệ thống vé hỗ trợ được sử dụng bởi đội ngũ hỗ trợ của Discord, lấy được tin nhắn, tên người dùng, địa chỉ email, và trong một số trường hợp, thông tin thanh toán hạn chế và hình ảnh chứng minh thư được gửi để xác minh độ tuổi. Discord đã thu hồi quyền truy cập của nhà cung cấp, tiến hành điều tra với một công ty pháp y và đang làm việc với cơ quan thực thi pháp luật.

Không phải vi phạm Discord, mà là sự cố bên thứ ba

Discord đã khẳng định rằng hệ thống của chính họ không bị xâm phạm. Thay vào đó, cuộc tấn công nhắm vào một nhà cung cấp dịch vụ khách hàng bên thứ ba, 5CA. Đây là một hướng tấn công phổ biến cho các vụ vi phạm dữ liệu, nơi kẻ tấn công khai thác mắt xích yếu nhất trong chuỗi cung ứng. Bên trái phép đã sử dụng các chiến thuật kỹ thuật xã hội để giành quyền truy cập vào hệ thống vé hỗ trợ của Discord, chứ không phải khai thác lỗ hổng trong mã nguồn của Discord. Sự khác biệt này rất quan trọng: hệ thống nhắn tin và xác thực cốt lõi của Discord vẫn an toàn. Tuy nhiên, đối với những người dùng đã liên hệ hỗ trợ, dữ liệu của họ đã bị lộ. Sự cố này làm nổi bật rủi ro của việc chia sẻ dữ liệu với bên thứ ba và sự cần thiết của việc kiểm tra bảo mật nhà cung cấp nghiêm ngặt.

Dữ liệu nhạy cảm bị lộ: Chứng minh thư, thông tin thanh toán và hơn thế nữa

Vụ vi phạm đã làm lộ một loạt dữ liệu người dùng, chủ yếu từ những người đã liên lạc với đội ngũ Hỗ trợ Khách hàng hoặc Trust & Safety của Discord. Dữ liệu bị xâm phạm bao gồm:

  • Tên, tên người dùng Discord, địa chỉ email và các thông tin liên lạc khác được cung cấp cho bộ phận hỗ trợ
  • Thông tin thanh toán hạn chế như loại thanh toán, bốn chữ số cuối của thẻ tín dụng và lịch sử mua hàng
  • Địa chỉ IP
  • Tin nhắn trao đổi với nhân viên hỗ trợ
  • Hình ảnh chứng minh thư của khoảng 70.000 người dùng đã kháng cáo các quyết định xác định độ tuổi

Đáng chú ý, mật khẩu, số thẻ tín dụng đầy đủ và tin nhắn riêng tư giữa người dùng không bị xâm phạm. Các ảnh chứng minh thư đặc biệt đáng lo ngại vì chúng có thể được sử dụng để đánh cắp danh tính. Discord đã tuyên bố sẽ thông báo cho những người dùng bị ảnh hưởng qua email từ 'noreply@discord.com'.

Tuyên bố của tin tặc: 5,5 triệu so với 70.000

Những kẻ tấn công, được cho là một nhóm có tên Scattered Lapsu$ Hunters (SLH), tuyên bố đã đánh cắp dữ liệu của 5,5 triệu người dùng, vượt xa con số Discord thừa nhận là khoảng 70.000. Chúng cũng tuyên bố có 1,5 terabyte dữ liệu. Discord đã bác bỏ những tuyên bố này là 'không chính xác và là một phần của nỗ lực tống tiền'. Tuy nhiên, các chuyên gia bảo mật lưu ý rằng số lượng người dùng thực tế bị ảnh hưởng có thể lớn hơn nếu kẻ tấn công truy cập vào một phạm vi rộng hơn các vé hỗ trợ. Discord đã không cung cấp bảng phân tích chi tiết, để lại một số sự không chắc chắn. Người dùng nên cảnh giác và xem xét liệu họ đã từng liên hệ hỗ trợ Discord trong quá khứ hay chưa.

Tin tặc là ai?

Nhóm này được mô tả là một liên minh kết hợp các chiến thuật từ Scattered Spider, Lapsu$ và ShinyHunters. Chúng dựa vào kỹ thuật xã hội hơn là phần mềm độc hại, nhắm vào các nhà cung cấp bên thứ ba để tiếp cận các mục tiêu lớn hơn. Đây là một xu hướng ngày càng tăng trong tội phạm mạng, vượt qua các biện pháp phòng thủ cứng rắn bằng cách tấn công các đối tác kém an toàn hơn.

Phản ứng của Discord: Hành động nhanh chóng và các bước tiếp theo

Discord đã hành động nhanh chóng khi phát hiện ra vụ vi phạm. Họ đã thu hồi quyền truy cập của nhà cung cấp bên thứ ba, tiến hành điều tra nội bộ với sự hỗ trợ pháp y chuyên gia và liên hệ với cơ quan thực thi pháp luật. Công ty cũng đã thông báo cho các cơ quan bảo vệ dữ liệu có liên quan và đang trong quá trình liên lạc với những người dùng bị ảnh hưởng. Discord đã đảm bảo với người dùng rằng họ sẽ không liên hệ qua điện thoại và các thông báo chính thức chỉ đến từ 'noreply@discord.com'. Đối với những người dùng không bị ảnh hưởng, không cần thực hiện hành động nào. Tuy nhiên, Discord khuyến nghị tất cả người dùng nên thận trọng với các tin nhắn hoặc email đáng ngờ.

Bài học cho người dùng: Cách tự bảo vệ sau một vụ vi phạm

Sự cố này là lời nhắc nhở rằng ngay cả khi nền tảng tự an toàn, các tích hợp bên thứ ba vẫn có thể dễ bị tấn công. Dưới đây là các bước người dùng có thể thực hiện:

  • Cảnh giác với các nỗ lực lừa đảo: Hãy thận trọng với các email hoặc tin nhắn bất ngờ tự xưng là từ Discord, đặc biệt là những tin nhắn yêu cầu thông tin cá nhân.
  • Sử dụng mật khẩu duy nhất: Bật xác thực hai yếu tố cho tài khoản Discord của bạn.
  • Xem lại các tương tác hỗ trợ: Nếu bạn đã chia sẻ dữ liệu nhạy cảm với bộ phận hỗ trợ Discord, hãy đặc biệt thận trọng về hành vi trộm cắp danh tính.
  • Theo dõi tài khoản tài chính: Mặc dù số thẻ tín dụng đầy đủ không bị lộ, thông tin thanh toán hạn chế có thể được sử dụng trong các cuộc tấn công có mục tiêu.

Discord đã tuyên bố sẽ không còn sử dụng hệ thống bị xâm phạm để xác minh độ tuổi và đã chuyển sang các nhà cung cấp chuyên dụng như k-ID và Persona. Công ty cũng cho biết sẽ xóa hình ảnh chứng minh thư sau khi xác minh để giảm thiểu rủi ro trong tương lai.

Bức tranh lớn hơn: Rủi ro bên thứ ba và quyền riêng tư dữ liệu

Vụ vi phạm này nhấn mạnh thách thức ngày càng tăng của rủi ro bên thứ ba trong hệ sinh thái kỹ thuật số. Các công ty như Discord có thể có bảo mật nội bộ mạnh mẽ, nhưng một nhà cung cấp duy nhất với các biện pháp kiểm soát yếu có thể khiến hàng triệu người dùng gặp rủi ro. Sự cố cũng làm sống lại các cuộc tranh luận về hệ thống xác minh độ tuổi, vốn yêu cầu thu thập dữ liệu sinh trắc học nhạy cảm. Các nhà hoạt động vì quyền kỹ thuật số cảnh báo rằng các hệ thống như vậy tạo ra 'tổ ong' cho kẻ tấn công. Đối với người dùng, bài học là hãy thận trọng với thông tin họ chia sẻ với bất kỳ dịch vụ trực tuyến nào, đặc biệt là chứng minh thư nhạy cảm. Khi Discord và các nền tảng khác tiếp tục phát triển các biện pháp bảo mật, sự kiện này có thể sẽ ảnh hưởng đến cách họ kiểm tra và quản lý các nhà cung cấp bên thứ ba trong tương lai.