Discord выступил с заявлением после недавнего инцидента, связанного с утечкой данных через сторонний сервис, предположительно систему поддержки Zendesk. Компания сообщила, что могли быть скомпрометированы около 70 000 фотографий государственных удостоверений личности, а не 2,1 миллиона, как утверждают хакеры. Discord подчеркнул, что сама платформа не была взломана, и, согласно BleepingComputer, компания не намерена выплачивать выкуп, несмотря на требования злоумышленников.
Однако отсутствие независимой верификации масштабов утечки и расхождения в оценках вызывают вопросы о реальной степени проблемы.Инцидент произошёл 20 сентября 2025 года. Хакеры заявили, что использовали уязвимость в системе Zendesk для доступа к персональным данным, включая контактную информацию, email-адреса, настоящие имена, ограниченные платёжные данные и удостоверения личности, использовавшиеся для верификации возраста. Пароли и сами аккаунты Discord не были затронуты, но утечка персональной информации подтверждена.
Хакеры потребовали выкуп, чтобы не публиковать данные, изначально запросив $5,5 млн, а затем снизив сумму до $3,5 млн после переговоров с Discord.Discord категорически отверг выплату выкупа, заявив BleepingComputer: «Мы не будем поощрять незаконные действия». Компания уточнила, что утечка произошла не в её системах, а через сторонний сервис, используемый для поддержки клиентов. По оценкам Discord, пострадали около 70 000 пользователей, чьи удостоверения личности могли быть раскрыты в процессе проверки возраста.
Хакеры же утверждают, что получили доступ к 8,4 млн тикетов поддержки, затрагивающих 5,5 млн уникальных пользователей, и более 521 000 тикетов верификации возраста, что значительно превышает цифры Discord. Они признали, что изначальная оценка в 2,1 млн удостоверений могла быть завышена, но настаивают, что число всё же больше 70 000. BleepingComputer сообщает, что хакеры предоставили образцы данных для подтверждения, но независимо подтвердить их подлинность или масштаб утечки невозможно.Скептически оценивая ситуацию, стоит отметить, что расхождения в цифрах между Discord и хакерами указывают на отсутствие прозрачности.
Discord, как и другие компании, может занижать масштаб инцидента, чтобы минимизировать репутационные потери, что подтверждается историей утечек, таких как взлом Adobe в 2013 году, когда изначально заявленные 3 млн поражённых аккаунтов выросли до 38 млн после расследования. Отсутствие паролей в утечке снижает риски прямого взлома аккаунтов, но раскрытие удостоверений личности создаёт угрозу фишинга или кражи личности, особенно с учётом того, что 70 000 — это лишь оценка Discord.
По данным Verizon Data Breach Report 2024, 68% утечек связаны с человеческим фактором, включая недостатки сторонних сервисов, как в случае с Zendesk, чьи уязвимости ранее эксплуатировались в атаках на другие платформы, например, Trello в 2024 году.Пока нет доказательств, что данные уже опубликованы или проданы в даркнете, но такие случаи, как утечка AT&T 2024 года (73 млн пользователей), показывают, что хакеры могут хранить данные для последующих атак.
Пользователям Discord рекомендуется обновить настройки конфиденциальности и следить за подозрительной активностью, хотя компания не предоставила конкретных рекомендаций по защите пострадавших. Без независимого аудита, подобного расследованиям Have I Been Pwned, масштаб и последствия инцидента остаются неясными, а заявления обеих сторон требуют дальнейшей проверки.
Оригинал
Уникальность
