Discord публічно заявив, що не платитиме викуп кіберзлочинцям, які стверджують про викрадення даних 5,5 млн користувачів. За офіційною версією компанії, інцидент торкнувся значно меншого масиву — орієнтовно 70 000 записів — і стався через компрометацію облікового запису у зовнішнього постачальника послуг клієнтської підтримки, а не внаслідок зламу самої платформи.
Офіційна позиція Discord: інцидент у третьої сторони та попередній масштаб
Подія датується 20 вересня 2025 року. За словами Discord, було оперативно ізольовано підрядника від системи обробки звернень і розпочато внутрішнє розслідування. Під ризиком — зображення документів, які невелика частина користувачів надсилала для верифікації віку (паспорт, водійське посвідчення). Компанія оцінює потенційно скомпрометовані дані приблизно у 70 тис. записів і вважає завищені цифри, оприлюднені зловмисниками, елементом тиску у схемі вимагання.
Заяви зловмисників: 1,6 ТБ тикетів, 5,5 млн користувачів і доступ до інструментів підтримки
За повідомленнями BleepingComputer, до атаки причетна група Scattered Lapsus$ Hunters (учасники Scattered Spider, LAPSUS$ і Shiny Hunters). Вони стверджують, що отримали облікові дані співробітника BPO‑підрядника та зберігали доступ до екземпляра, який пов’язують із Zendesk, протягом близько 58 годин від 20 вересня. Нібито було ексфільтровано близько 1,6 ТБ даних: понад 8,4 млн звернень, які зачіпають 5,5 млн унікальних користувачів. Частина тикетів, за їх словами, містила неповну платіжну інформацію (орієнтовно 580 тис. звернень). Також зловмисники заявляють про доступ до внутрішнього застосунку підтримки Zenbar із можливістю перегляду телефонів та e‑mail і виконання чутливих дій, зокрема відключення MFA. Редакція BleepingComputer підкреслює, що не може незалежно підтвердити ці твердження.
Експертний аналіз: ризики ланцюга постачання, BPO та надмірні привілеї
Кейс яскраво демонструє вразливість ланцюга постачання (third‑party risk): компрометація підрядника відкриває шлях до критичних даних, навіть якщо основна інфраструктура залишається недоторканою. Подібні сценарії вже траплялися: злам Okta через BPO‑постачальника (LAPSUS$, 2022), інцидент із токенами підтримки в Okta (2023), а також атаки на MGM Resorts та Caesars (2023), де соціальна інженерія служби підтримки стала ключовою ланкою.
Компрометація BPO‑акаунта зазвичай свідчить про прогалини в аутентифікації та управлінні доступом. Найкращі практики включають факторостійку MFA (наприклад, FIDO2/WebAuthn з прив’язкою до пристрою), Zero Trust‑підхід, мінімізацію привілеїв для інструментів підтримки, сегментацію середовищ і JIT‑доступ (доступ за запитом і на обмежений час). Важливо забезпечити деталізований аудит і сповіщення про чутливі дії — такі як перегляд ідентифікаторів, експорт даних або відключення MFA.
Окрема зона ризику — зберігання копій посвідчень особи. Рекомендовано шифрування на рівні застосунків, токенізацію, жорстке розділення сховищ із тикет‑системами та максимально скорочені строки зберігання. Це знижує цінність даних у разі витоку та пом’якшує регуляторні наслідки (GDPR/CCPA) і, за наявності платіжних атрибутів, вимоги PCI DSS.
Вимагання та позиція Discord щодо викупу
За повідомленнями медіа, кіберзлочинці починали з вимоги у $5 млн, згодом знизивши суму до $3,5 млн. Переговори тривали з 25 вересня до 2 жовтня 2025 року. Після того як Discord публічно спростував масштаб, компанія припинила контакти з вимагателями, які, у відповідь, пригрозили публікацією викрадених даних. Discord заявляє, що не має наміру «заохочувати протиправні дії» і продовжує розслідування та ізоляцію підрядника.
Поради користувачам Discord: як зменшити ризики
Користувачам, які зверталися до підтримки або проходили верифікацію віку, варто:
- увімкнути та перевірити MFA, за можливості використовувати passkeys (FIDO2/WebAuthn);
- оновити паролі та уникати їх повторного використання;
- пильнувати фішинг у пошті та SMS, верифікувати запити на скидання паролів;
- активувати сповіщення емітента платіжної картки й моніторити можливий витік документів;
- у разі отримання офіційного повідомлення — діяти за інструкціями, включно з потенційною заміною документів.
Розбіжність між офіційними оцінками Discord і заявами зловмисників поки що не має незалежного підтвердження масштабу. Для індустрії це чергове нагадування: контроль доступів постачальників, Zero Trust, JIT‑моделі, обмеження привілеїв інструментів підтримки та захист високочутливих артефактів (ID‑зображень) істотно зменшують потенційні збитки. Компаніям варто переглянути угоди з BPO, провести перевірку журналів на предмет підозрілих дій і підвищити зрілість процесів реагування, а користувачам — негайно посилити власну гігієну безпеки.
