Am 20. September 2025 hat Discord einen Sicherheitsvorfall offengelegt, der auf die Kompromittierung eines externen Kundensupport-Dienstleisters zurückgeht. Betroffen ist ein begrenzter Kreis von Nutzerinnen und Nutzern, die mit dem Support oder dem Trust-&-Safety-Team interagiert haben. Nach Unternehmensangaben wurden Zahlungsinformationen und personenbezogene Daten (PII) einschließlich echter Namen exfiltriert; in einer kleinen Teilmenge sind auch Ausweisfotos aus Altersverifizierungen betroffen. Der vollständige Umfang ist noch nicht veröffentlicht.
Supply-Chain-Angriff auf Support-Infrastruktur: Ablauf und Reaktion
Die Angreifer trafen nicht die Kernsysteme von Discord, sondern den externen Ticketing- und Verifikationsdienst, der Supportprozesse abwickelt. Nach Entdeckung kappte Discord umgehend den Dienstleisterzugang, startete eine interne Incident-Response (IR), beauftragte digitale Forensik und informierte Strafverfolgungsbehörden. Dieses Vorgehen entspricht etablierten Best Practices und reduziert das Risiko weiterer Lateralmigration sowie Datenabfluss.
Betroffene Daten: Zahlungsinformationen, PII und Ausweiskopien
Nach aktueller Lage konnten die Täter auf Datensätze zugreifen, die Zahlungsdetails und PII enthalten, etwa Namen und Kontaktdaten. Für einen kleineren Teil sind KYC-/Altersnachweise wie Führerschein- oder Passfotos potentiell kompromittiert. Daraus ergeben sich Risiken wie Identitätsmissbrauch, zielgerichtetes Phishing und finanzielle Betrugsversuche. Solange keine finale Attributliste vorliegt, ist ein vorsorgliches Sicherheits- und Finanzmonitoring sinnvoll.
Mögliche Vektoren und Attribution: Hinweise auf Zendesk, widersprüchliche Bekenntnisse
Laut einem Bericht von BleepingComputer deuten Quellen auf einen möglichen Vorfall bei Zendesk, einer verbreiteten Ticketing-Plattform. Parallel reklamierte die Gruppe Scattered Lapsus$ Hunters die Tat und veröffentlichte Screenshots einer Access-Control-Liste in Kolide für Discord-Mitarbeitende mit Admin-Rechten. Forschende von VX-Underground berichten zudem von einer weiteren, bislang unbekannten Gruppe; eine unabhängige Verifikation dieser Aussagen steht aus. Solange keine forensisch belastbaren Ergebnisse vorliegen, bleibt eine eindeutige Zuordnung offen.
Warum Support-Systeme ein Hochrisiko-Ziel sind
Support- und Verifikationsplattformen bündeln hochgradig sensible Daten: Kontakt- und Zahlungsinformationen, Ticketanhänge mit Dokumenten sowie Sitzungs- und Gerätedaten. Typische Schwachstellen sind übermäßige Berechtigungen für Dienstleister, unzureichende Netzwerksegmentierung, mangelnde Telemetrie und lange Aufbewahrungsfristen für Anhänge. Branchenberichte wie der Verizon Data Breach Investigations Report (DBIR) und die ENISA Threat Landscape heben seit Jahren die steigende Relevanz von Risiken aus Partner- und SaaS-Ökosystemen hervor.
Sichere Betriebsprozesse für Ticket- und Verifikations-Workflows
Unternehmen sollten den Least-Privilege-Grundsatz strikt auf externe Accounts anwenden, Zugriffe fein segmentieren und
