A Discord bejelentette, hogy nem fizet váltságdíjat azoknak a hackereknek, akik azt állítják, hogy 5,5 millió felhasználó adatait szerezték meg a vállalat Zendesk-alapú ügyfélszolgálati rendszeréből. A támadók szerint a kiszivárgott adatok között személyi igazolványok, személyes elérhetőségek és részleges fizetési információk is találhatók. A vállalat azonban visszautasította ezeket az állításokat és közölte, hogy a számok erősen eltúlzottak: belső vizsgálatuk alapján körülbelül 70 ezer felhasználót érinthetett az incidens, akiknek a korhatár-ellenőrzés céljából benyújtott személyi igazolványok fotói váltak elérhetővé. A Discord hangsúlyozta, hogy nem a saját rendszere sérült, hanem egy harmadik fél által üzemeltetett, ügyfélszolgálati célokra használt szolgáltatás és a történtek csupán egy zsarolási kísérlet részei.
A támadók ezzel szemben azt állítják, hogy a Discord nem transzparens az ügy súlyosságát illetően, ugyanis szerintük 1,6 terabájtnyi adatot szereztek meg, amelyben több millió ügyfélszolgálati jegy, melléklet és belső kommunikáció is szerepelt. Saját elmondásuk szerint 2025. szeptember 20-án jutottak be a Discord Zendesk-rendszerébe, és 58 órán keresztül fértek hozzá az adatokhoz. A kompromittálás nem szoftveres sebezhetőségen keresztül történt, hanem egy külsős ügyfélszolgálati partner (BPO) egyik alkalmazottjának feltört fiókján keresztül. Ez a támadási módszer egyre gyakoribb, mivel sok nagyvállalat szervezi ki ügyfélszolgálati és IT-támogatási tevékenységét, így az ilyen alvállalkozók biztonsági szintje kulcsfontosságúvá válik.
A hackerek szerint a megszerzett hozzáféréssel elérték a Zenbar nevű belső támogatási alkalmazást, amellyel többek között többtényezős hitelesítést tudtak letiltani, valamint felhasználói e-mail-címeket és telefonszámokat lekérdezni. A támadók azt állítják, hogy a megszerzett adatok között 8,4 millió ügyfélszolgálati jegy és 5,5 millió egyedi felhasználó adatai találhatók, közülük mintegy 580 ezernél valamilyen fizetési adat is szerepelt. A kiszivárgott információk között e-mail-címek, felhasználónevek, telefonszámok, részleges fizetési adatok, születési dátumok és többtényezős hitelesítéshez kapcsolódó információk is lehetnek.
A hackerek azt is állítják, hogy a Zendesk és a Discord belső rendszerei közötti integrációk lehetővé tették számukra, hogy milliós nagyságrendű API-lekérdezéseket futtassanak, és így további, a felhasználókhoz köthető adatokat nyerjenek ki. Bár az általuk megosztott minták valódiságát a BleepingComputer nem tudta megerősíteni, a történtek egyértelműen rámutatnak arra, milyen kockázatot jelenthet a külső szolgáltatókra épített adatkezelés.
A támadók 5 millió dollár váltságdíjat követeltek a Discordtól, amit később 3,5 millió dollárra csökkentettek. A vállalattal szeptember 25. és október 2. között zajlottak tárgyalások, ám miután a Discord megszakította a kommunikációt és nyilvános közleményt adott ki, amelyben megtagadták az összeg kifizetését, a hackerek azzal fenyegetőztek, hogy nyilvánosságra hozzák a megszerzett adatokat.
Az incidens rávilágít a kiberbiztonsági ellátási lánc kockázataira, különösen a BPO-partnereken keresztül történő hozzáférések veszélyeire. A támadás jól példázza, hogy egy alvállalkozó kompromittálása akár több millió felhasználó adatát is veszélybe sodorhatja, valamint, hogy a külső integrációk és API-hozzáférések megfelelő felügyelete és naplózása elengedhetetlen az ilyen típusú támadások megelőzéséhez.
