Grote beveiligingsincident treft Discord-gebruikers
Discord, het populaire communicatieplatform met meer dan 150 miljoen maandelijkse actieve gebruikers, heeft een significant datalek bevestigd waarbij gebruikers die contact hebben opgenomen met de klantenservice zijn getroffen. Het beveiligingsincident vond plaats via een gecompromitteerde externe klantenserviceprovider, waarbij gevoelige persoonlijke informatie inclusief overheidsidentificatiedocumenten zijn blootgelegd.
Welke informatie is gelekt?
Volgens de officiële verklaring van Discord en beveiligingsexperts heeft het lek een breed scala aan gebruikersgegevens blootgelegd, waaronder volledige namen, Discord-gebruikersnamen, e-mailadressen, contactgegevens, IP-adressen en beperkte factureringsinformatie. Het meest zorgwekkend is dat het lek ook foto-ID's van de overheid bevatte, zoals rijbewijzen en paspoorten die gebruikers hadden ingediend voor leeftijdsverificatie.
'Dit is een van de ergste scenario's voor ID-leeftijdsverificatie,' zei cybersecurity-expert Mark Johnson. 'Wanneer gebruikers gevoelige overheidsdocumenten moeten indienen, vertrouwen ze erop dat bedrijven die informatie beschermen. Dit lek laat zien hoe kwetsbaar die gegevens kunnen zijn.'
Hoe het lek plaatsvond
Het beveiligingsincident vond plaats op 20 september 2025, toen een onbevoegde partij een van Discord's externe klantenserviceproviders infiltreerde. De hackers kregen toegang tot Discord's klantenservice-ticketsysteem via de gecompromitteerde leverancier, naar verluidt op zoek naar financiële losgeld in een ransomware-aanval.
Discord verduidelijkte in hun officiële verklaring: 'Zodra we ons bewust werden van deze aanval, hebben we onmiddellijk maatregelen genomen om de situatie aan te pakken. Dit omvatte het intrekken van de toegang van de klantenserviceprovider tot ons ticketsysteem, het starten van een intern onderzoek, het inschakelen van een toonaangevend computerforensisch bedrijf om ons onderzoek en onze herstelmaatregelen te ondersteunen, en het inschakelen van wetshandhavingsinstanties.'
Gebruikersimpact en reactie
Discord heeft getroffen gebruikers via e-mail van noreply@discord.com op de hoogte gesteld, hoewel deze aanpak kritiek heeft gekregen omdat het communicatiemogelijkheden voor gebruikers beperkt. Het bedrijf heeft gebruikers verzekerd dat hun privéberichten, volledige creditcardnummers, wachtwoorden en fysieke adressen niet zijn gecompromitteerd.
'Het gebruik van een noreply e-mailadres voor zulke gevoelige meldingen is problematisch,' merkte privacy-advocaat Sarah Chen op. 'Gebruikers die vragen hebben of directe hulp nodig hebben, zouden directe communicatiekanalen moeten hebben wanneer hun meest gevoelige persoonlijke informatie is blootgelegd.'
Beveiligingsimplicaties en zorgen in de sector
Dit incident benadrukt groeiende zorgen over verplichte leeftijdsverificatiebeleid die gebruikers vereisen overheidsidentificatie in te dienen. Met regelgeving zoals de UK's Online Safety Act en vergelijkbare maatregelen in sommige Amerikaanse staten, verzamelen bedrijven steeds vaker gevoelige ID-documenten die aantrekkelijke doelen worden voor cybercriminelen.
De hackinggroep "Scattered Lapsus$ Hunters" heeft verantwoordelijkheid opgeëist voor de aanval, waarbij screenshots van interne Discord-tools werden gedeeld en werd gedreigd met het publiceren van extra gestolen materiaal op hun datalek-site.
Wat gebruikers moeten doen
Getroffen gebruikers moeten alert blijven op phishing-pogingen en hun accounts monitoren op verdachte activiteit. Hoewel Discord stappen heeft genomen om het lek te bevatten, creëert de blootstelling van overheids-ID's significante identiteitsdiefstalrisico's die aanvullende beschermende maatregelen kunnen vereisen.
Discord's reactie omvat het intrekken van de toegang van de gecompromitteerde provider, het starten van een intern onderzoek met forensische experts en samenwerking met wetshandhavingsinstanties. Het bedrijf heeft benadrukt dat hun kernsystemen niet direct zijn gehackt, maar het incident dient als een duidelijke herinnering aan de beveiligingsrisico's die inherent zijn aan relaties met derde partijen.