Het populaire communicatieplatform Discord heeft een datalek openbaar gemaakt nadat hackers toegang wisten te krijgen tot een extern systeem dat werd gebruikt voor klantenservice. Daarbij werd persoonlijke informatie van gebruikers buitgemaakt, waaronder namen, e-mailadressen, identificatiedocumenten en gedeeltelijke betalingsgegevens.
Datalek
De aanval vond plaats op 20 september en trof volgens Discord ‘een beperkt aantal gebruikers’ die contact hadden gehad met het klantenserviceteam of de Trust and Safety-afdeling. In een melding aan de getroffen gebruikers schrijft het bedrijf dat een ‘ongeautoriseerde partij beperkte toegang heeft verkregen tot een derdepartijssysteem dat voor klantenondersteuning werd gebruikt.’
Volgens Discord werd onmiddellijk actie ondernomen nadat het incident werd ontdekt. De toegang van de externe dienstverlener werd ingetrokken en een intern onderzoek werd gestart, ondersteund door een gespecialiseerd forensisch cybersecuritybedrijf. Ook is de wetshandhaving ingeschakeld.
Losgeld
De aanval lijkt financieel gemotiveerd te zijn: de hackers eisten losgeld in ruil voor het niet openbaar maken van de gestolen gegevens. De buitgemaakte informatie bevatte onder meer volledige namen, gebruikersnamen, e-mailadressen, IP-adressen en berichten of bijlagen die aan de klantenservice waren verzonden. In sommige gevallen kregen de aanvallers zelfs toegang tot foto’s van overheidsdocumenten zoals paspoorten of rijbewijzen.
Daarnaast zijn delen van betalingsinformatie blootgesteld, waaronder het type betaalmethode, de laatste vier cijfers van creditcards en aankoopgeschiedenis die gekoppeld was aan de getroffen accounts.
Identiteit
Het beveiligingscollectief VX-Underground omschreef de gestolen data als “letterlijk iemands volledige identiteit”. Volgens Alon Gal, CTO van het cyberinlichtingenbedrijf Hudson Rock, zou de database – mocht deze uitlekken – waardevolle informatie kunnen bevatten om cryptofraude en hacks op te lossen, aangezien veel scammers actief zijn op Discord.
De aanval wordt inmiddels opgeëist door de dreigingsgroep Scattered Lapsus$ Hunters (SLH). Deze hackers zouden via een kwetsbaarheid in Zendesk, de klantenserviceprovider van Discord, toegang hebben gekregen tot het systeem. Een door de groep gedeelde afbeelding toont een Kolide-toegangscontrolelijst voor Discord-medewerkers met rechten op de adminconsole, wat de claim ondersteunt.
Kwetsbaarheid
Discord heeft nog niet bekendgemaakt hoeveel gebruikers precies zijn getroffen of via welk toegangspunt de aanval plaatsvond. Het incident volgt kort op eerdere grote datadiefstallen, waaronder de recente inbreuken bij Salesforce door de ShinyHunters-extorsiegroep, waarbij gegevens van honderden bedrijven werden gestolen. Met meer dan 200 miljoen maandelijkse gebruikers wereldwijd onderstreept het datalek de kwetsbaarheid van zelfs de grootste online platforms — en het groeiende risico van uitbestede klantenservicesystemen.