Discord публично отказался платить выкуп киберпреступникам, которые заявили о краже данных 5,5 млн пользователей платформы. Компания настаивает, что компрометация коснулась значительно меньшего числа — порядка 70 000 человек, и произошла из‑за взлома аккаунта у внешнего поставщика услуг клиентской поддержки.
Что известно официально: инцидент у третьей стороны и предварительная оценка ущерба
По заявлению Discord, инцидент не является «взломом Discord» как такового: атака затронула сторонний сервис, использовавшийся для обработки тикетов поддержки. Событие датируется 20 сентября 2025 года. Компания сообщает, что оперативно изолировала компрометированного подрядчика от своей системы тикетов и инициировала расследование.
По предварительным данным, под риском оказались фотографии удостоверений личности (в частности, водительские права и паспорта), предоставленные небольшой группой пользователей для подтверждения возраста. Discord оценивает потенциально скомпрометированную выборку примерно в 70 000 записей и утверждает, что распространённые злоумышленниками цифры — часть схемы вымогательства.
Версия вымогателей: 1,6 ТБ тикетов, 5,5 млн пользователей и доступ к инструментам поддержки
Со ссылкой на Bleeping Computer, к атаке причастна группировка Scattered Lapsus$ Hunters (объединение участников Scattered Spider, LAPSUS$ и Shiny Hunters). По их словам, компрометация произошла не из‑за уязвимости платформы, а из‑за захвата учётных данных сотрудника службы поддержки подрядчика по модели BPO (Business Process Outsourcing). Доступ к инстансу, который СМИ связывают с Zendesk, сохранялся около 58 часов, начиная с 20 сентября.
Злоумышленники утверждают, что выгрузили около 1,6 ТБ данных: свыше 8,4 млн тикетов, затрагивающих 5,5 млн уникальных пользователей. В части записей якобы присутствовала частичная платёжная информация (по оценке вымогателей — примерно в 580 000 тикетах). Также они заявляют о доступе к внутреннему приложению поддержки Zenbar, позволявшему просматривать номера телефонов и e‑mail, а также выполнять чувствительные операции, включая отключение MFA. Редакция Bleeping Computer подчёркивает, что не может независимо подтвердить эти заявления и подлинность переданных образцов.
Экспертный разбор: риск цепочки поставок, BPO и опасные привилегии инструментов поддержки
Инцидент иллюстрирует ключевые риски цепочки поставок (third‑party risk): компрометация подрядчика может открыть доступ к критическим данным, даже если инфраструктура основной платформы остаётся непоражённой. Подобные схемы уже фигурировали в крупных кейсах индустрии, где ключевую роль играли учётные записи поставщиков и недостаточные ограничения привилегий в инструментах поддержки.
Компрометация BPO‑сотрудника указывает на слабые места в аутентификации и управлении доступом. Лучшие практики включают строгую MFA со связкой факторов, привязку устройств и политики Zero Trust; минимизацию привилегий для приложений поддержки; сегментацию сред; обязательные JIT‑доступы (доступ по запросу и на ограниченный срок); детальный аудит логов и оповещения о чувствительных операциях (например, отключение MFA или просмотр персональных идентификаторов).
Отдельного внимания требует хранение копий удостоверений личности: следует внедрять шифрование на уровне приложений, сокращённые сроки хранения, токенизацию и жёсткую изоляцию таких артефактов от тикет‑систем. Это снижает ценность данных при компрометации и уменьшает регуляторные риски (например, в контексте GDPR/CCPA для глобальных платформ).
Позиция Discord по выкупу и динамика давления
По данным СМИ, злоумышленники требовали выкуп сначала в $5 млн, затем снизили запрос до $3,5 млн, ведя переговоры с 25 сентября по 2 октября 2025 года. После того как компания публично отвергла претензии и прекратила коммуникацию, вымогатели пригрозили опубликовать украденные данные. Discord заявляет, что не намерен «поощрять противоправные действия», и продолжает расследование вместе с изоляцией поставщика.
Что делать пользователям Discord
Пользователям, взаимодействовавшим со службой поддержки или проходившим проверку возраста, стоит: включить и перепроверить MFA; обновить пароли и уникальные passkeys; внимательно мониторить почту и SMS на предмет фишинга; рассмотреть активацию уведомлений провайдера платёжных карт и мониторинг утечки документов. При появлении подтверждённой рассылки уведомлений от Discord следуйте инструкциям, включая возможную замену документов.
Ситуация остаётся развивающейся: официальные оценки Discord и заявления вымогателей существенно расходятся, а независимая верификация масштабов инцидента пока ограничена. Для индустрии это ещё одно напоминание о важности контроля доступов поставщиков, строгой сегментации инструментов поддержки и минимизации хранения высокочувствительных документов. Усиление мер по Zero Trust, JIT‑доступам и защите ID‑артефактов снижает масштаб потенциального ущерба — вне зависимости от того, насколько громкими оказываются цифры в требованиях вымогателей.
