Schwerwiegender Sicherheitsvorfall betrifft Discord-Nutzer
Discord, die beliebte Kommunikationsplattform mit über 150 Millionen monatlich aktiven Nutzern, hat ein erhebliches Datenleck bestätigt, bei dem Nutzer betroffen sind, die den Kundenservice kontaktiert haben. Der Sicherheitsvorfall ereignete sich über einen kompromittierten externen Kundenservice-Anbieter, wodurch sensible persönliche Informationen einschließlich behördlicher Identifikationsdokumente offengelegt wurden.
Welche Informationen wurden geleakt?
Laut der offiziellen Erklärung von Discord und Sicherheitsexperten hat das Leck eine breite Palette von Nutzerdaten offengelegt, darunter vollständige Namen, Discord-Benutzernamen, E-Mail-Adressen, Kontaktdaten, IP-Adressen und eingeschränkte Abrechnungsinformationen. Besonders besorgniserregend ist, dass das Leck auch Fotoausweise der Behörden enthielt, wie Führerscheine und Pässe, die Nutzer zur Altersverifikation eingereicht hatten.
'Dies ist eines der schlimmsten Szenarien für ID-Altersverifikation,' sagte Cybersicherheitsexperte Mark Johnson. 'Wenn Nutzer sensible behördliche Dokumente einreichen müssen, vertrauen sie darauf, dass Unternehmen diese Informationen schützen. Dieses Leck zeigt, wie verwundbar diese Daten sein können.'
Wie das Leck geschah
Der Sicherheitsvorfall ereignete sich am 20. September 2025, als eine unbefugte Partei einen von Discords externen Kundenservice-Anbietern infiltrierte. Die Hacker erhielten Zugang zu Discords Kundenservice-Ticketsystem über den kompromittierten Anbieter, angeblich auf der Suche nach finanziellen Lösegeldzahlungen in einem Ransomware-Angriff.
Discord klärte in ihrer offiziellen Erklärung: 'Sobald wir von diesem Angriff erfuhren, haben wir sofort Maßnahmen ergriffen, um die Situation zu bewältigen. Dies umfasste das Widerrufen des Zugangs des Kundenservice-Anbieters zu unserem Ticketsystem, das Einleiten einer internen Untersuchung, das Hinzuziehen eines führenden Computerforensik-Unternehmens zur Unterstützung unserer Untersuchung und Wiederherstellungsmaßnahmen sowie das Einschalten von Strafverfolgungsbehörden.'
Nutzerauswirkungen und Reaktion
Discord hat betroffene Nutzer per E-Mail von noreply@discord.com informiert, obwohl dieser Ansatz kritisiert wurde, da er Kommunikationsmöglichkeiten für Nutzer einschränkt. Das Unternehmen hat Nutzer versichert, dass ihre privaten Nachrichten, vollständigen Kreditkartennummern, Passwörter und physischen Adressen nicht kompromittiert wurden.
'Die Verwendung einer noreply-E-Mail-Adresse für derart sensible Benachrichtigungen ist problematisch,' bemerkte Datenschutzanwältin Sarah Chen. 'Nutzer, die Fragen haben oder direkte Hilfe benötigen, sollten direkte Kommunikationskanäle haben, wenn ihre sensibelsten persönlichen Informationen offengelegt wurden.'
Sicherheitsimplikationen und Branchenbedenken
Dieser Vorfall unterstreicht wachsende Bedenken bezüglich verpflichtender Altersverifikationsrichtlinien, die Nutzer zur Einreichung behördlicher Identifikation verpflichten. Mit Regelungen wie dem UK Online Safety Act und ähnlichen Maßnahmen in einigen US-Bundesstaaten sammeln Unternehmen zunehmend sensible Ausweisdokumente, die zu attraktiven Zielen für Cyberkriminelle werden.
Die Hacking-Gruppe 'Scattered Lapsus$ Hunters' hat die Verantwortung für den Angriff übernommen, wobei Screenshots von internen Discord-Tools geteilt wurden und mit der Veröffentlichung zusätzlichen gestohlenen Materials auf ihrer Datenleck-Website gedroht wurde.
Was Nutzer tun sollten
Betroffene Nutzer sollten wachsam gegenüber Phishing-Versuchen bleiben und ihre Konten auf verdächtige Aktivitäten überwachen. Obwohl Discord Schritte unternommen hat, um das Leck einzudämmen, schafft die Offenlegung behördlicher Ausweise erhebliche Identitätsdiebstahl-Risiken, die zusätzliche Schutzmaßnahmen erfordern können.
Discords Reaktion umfasst das Widerrufen des Zugangs des kompromittierten Anbieters, das Einleiten einer internen Untersuchung mit forensischen Experten und die Zusammenarbeit mit Strafverfolgungsbehörden. Das Unternehmen hat betont, dass ihre Kernsysteme nicht direkt gehackt wurden, aber der Vorfall dient als klare Erinnerung an die Sicherheitsrisiken, die in Beziehungen zu Drittanbietern inhärent sind.