Discord hat öffentlich bestätigt, kein Lösegeld an Cybererpresser zu zahlen, die mit der Veröffentlichung angeblich entwendeter Nutzerdaten drohen. Während die Täter von einem Leak bei 5,5 Mio. Nutzern sprechen, beziffert das Unternehmen den betroffenen Kreis auf rund 70.000 Personen. Auslöser war demnach die Kompromittierung eines externen Customer-Support-Dienstleisters am 20. September 2025.
Offizieller Stand: Drittanbieter-Vorfall und vorläufige Schadensbewertung
Discord betont, es handele sich nicht um einen „Hack von Discord“, sondern um einen Sicherheitsvorfall bei einem Drittanbieter für Support-Tickets. Der Zugriff des kompromittierten Partners wurde nach Unternehmensangaben rasch unterbunden; ein forensisches Ermittlungsverfahren läuft. Betroffen sein könnten insbesondere Ausweisfotos (Führerschein, Pass), die vereinzelt zur Altersverifizierung eingereicht wurden. Die aktuelle Schätzung liegt bei ca. 70.000 Datensätzen.
Behauptungen der Erpresser: 1,6 TB Supportdaten und Zugriff auf „Zenbar“
Laut Berichten von BleepingComputer reklamiert eine Gruppe namens Scattered Lapsus$ Hunters den Angriff. Die Täter wollen über kompromittierte Zugangsdaten eines BPO-Supportmitarbeiters (Business Process Outsourcing) Zugriff auf eine Instanz erlangt haben, die Medien mutmaßlich mit Zendesk in Verbindung bringen. Der Zugang soll 58 Stunden bestanden haben.
Die Gruppe behauptet, 1,6 TB an Daten exfiltriert zu haben: mehr als 8,4 Mio. Tickets mit Bezug zu 5,5 Mio. Nutzern. In etwa 580.000 Tickets seien Teilinformationen zu Zahlungen enthalten. Zudem will man ein internes Support-Tool namens Zenbar genutzt haben, um E-Mail-Adressen und Telefonnummern einzusehen und sogar MFA zu deaktivieren. BleepingComputer weist darauf hin, dass diese Angaben nicht unabhängig verifiziert sind.
Einordnung: Supply-Chain-Risiko, BPO und überprivilegierte Support-Tools
Der Fall verdeutlicht die Relevanz von Third-Party- und Supply-Chain-Risiken: Auch wenn die Kerninfrastruktur eines Dienstes unangetastet bleibt, kann ein angeschlossener Dienstleister zum Einfallstor für sensible Daten werden. Besonders kritisch sind Support-Plattformen, die oft breit gefächerte Berechtigungen und Einblick in personenbezogene Informationen bieten.
BPO-Modelle erhöhen die Angriffsfläche: Identitäten außerhalb der Kernorganisation, heterogene Endgeräte und abweichende Prozesse schwächen die Identity- und Access-Governance. Bewährte Maßnahmen umfassen starke MFA mit gerätegebundener Bindung, Zero-Trust-Architekturen (NIST SP 800-207), Least Privilege und JIT-Zugriffe (Just-in-Time). Ebenso erforderlich sind feingranulare Audit-Logs und Alarme für sensible Aktionen wie das Deaktivieren von MFA oder das Anzeigen amtlicher IDs (vgl. NIST 800-53 und 800-63-3 für Identity Proofing).
Technische und organisatorische Maßnahmen zur Reduktion des Schadenspotenzials
Für hochsensible Dokumente wie Ausweisbilder sind Anwendungsverschlüsselung, Tokenisierung, strikte Segmentierung sowie verkürzte Aufbewahrungsfristen empfehlenswert. Eine physische und logische Trennung von Ticket-Systemen reduziert Masse und Wert abgeflossener Daten. Diese Prinzipien mindern zugleich regulatorische Risiken (u. a. GDPR/CCPA).
Lösegeld, Verhandlungstaktiken und Reaktion von Discord
Medienberichten zufolge forderten die Erpresser zunächst 5 Mio. US‑Dollar, später 3,5 Mio. US‑Dollar, mit Gesprächen vom 25. September bis 2. Oktober 2025. Nach dem Abbruch der Kommunikation durch Discord drohten die Täter mit Veröffentlichung. Das Unternehmen bekräftigte, kriminelle Handlungen nicht zu belohnen, und konzentriert sich auf Eindämmung sowie Aufklärung des Vorfalls.
Was Discord-Nutzer jetzt tun sollten
Nutzern, die Support-Kontakt hatten oder eine Altersverifizierung durchführten, wird empfohlen: MFA aktivieren bzw. prüfen, Passwörter/Passkeys aktualisieren, auf Phishing per E-Mail/SMS achten, Karten-Alerts beim Zahlungsanbieter einschalten und bei Bedarf Monitoring für Ausweisdokumente nutzen. Folgen Sie offiziellen Benachrichtigungen von Discord, insbesondere zu möglicher Dokumentenerneuerung und Sicherheitschecks.
Die Lage bleibt dynamisch: Zwischen den offiziellen Angaben von ca. 70.000 potenziell Betroffenen und den 5,5 Mio. aus Täteraussagen klafft eine große Lücke, die derzeit nicht unabhängig geschlossen werden kann. Organisationen sollten den Vorfall als Mahnung verstehen, Zugriffe von Dienstleistern strikt zu kontrollieren, Support-Werkzeuge zu entprivilegieren und die Speicherung von ID-Artefakten konsequent zu minimieren. Wer heute in Zero Trust, JIT-Zugriffe und Datensegmentierung investiert, senkt morgen das Erpressungspotenzial – unabhängig davon, wie groß die Zahlen der Angreifer ausfallen.
