Graczom raczej nie trzeba opisywać platformy Discord. Ponad 200 milionów użytkowników na całym świecie. Niestety gigant padł ofiarą poważnego wycieku danych – choć tym razem nie przez bezpośredni atak na serwery, a kompromitację zewnętrznego partnera obsługującego weryfikację wieku i wsparcie klienta.
Wyciek został oficjalnie ujawniony 9 października 2025 roku. Hakerzy włamali się do zewnętrznej firmy identyfikowanej przez media branżowe najczęściej jako 5CA lub usługodawca Zendesk, choć Zendesk zaprzecza bezpośredniemu zaangażowaniu, która pomagała Discordowi w obsłudze wsparcia technicznego i procesów weryfikacji wieku.
Najbardziej narażeni byli ci użytkownicy, którzy, kontaktowali się z supportem Discorda lub zespołem Trust & Safety, lub wysyłali Discordowi zdjęcia dowodów, paszportów lub „selfie z dokumentem” w ramach procesu potwierdzania wieku.
Według oficjalnych informacji, hakerzy uzyskali dostęp do 70 000 tego typu kompletnych zdjęć, a także imion, nazwisk, nazw użytkowników, adresów e-mail, fragmentów historii rozmów z supportem oraz częściowych danych billingowych (np. czterech ostatnich cyfr kart płatniczych).
Discord zapewnia, że, nie wyciekły dane do logowania, hasła, pełne numery kart płatniczych ani treści prywatnych rozmów pomiędzy użytkownikami. Wyciek dotknął wyłącznie osoby, które w określonym okresie kontaktowały się z supportem lub weryfikowały wiek przez zewnętrznego dostawcę. Discord odciął dostęp firmie natychmiast po wykryciu ataku i prowadzi śledztwo razem ze służbami (m.in. policja, specjalistyczne firmy forensic).
Ryzyka i skutki dla użytkowników
Wykradzione dane – zwłaszcza obrazy dokumentów tożsamości oraz dane kontaktowe – są wyjątkowo wartościowe dla cyberprzestępców. Można je wykorzystać do:
- prób wyłudzeń kredytów, kont czy social engineering,
- ataków phishingowych podszywających się pod Discord,
- kradzieży tożsamości czy oszustw internetowych z użyciem fałszywych kont,
- sprzedaży na czarnym rynku.
Discord zachęca osoby powiadomione e-mailem do szczególnej ostrożności – zwłaszcza wobec prób kontaktu ze strony osób podszywających się pod pracowników platformy.
Według Discorda, wszyscy zagrożeni otrzymają powiadomienie z adresu noreply@discord.com; firma nie dzwoni, nie prosi o dodatkowe dane i nie kontaktuje się przez inne kanały.
Na incydent zareagowały nie tylko media branżowe, ale również eksperci ds. bezpieczeństwa – podkreślając, jak duże ryzyko niesie powierzanie danych osobowych (zwłaszcza takich jak zdjęcia dowodów osobistych czy paszportów) podmiotom trzecim. Problem nie leży wyłącznie po stronie Discorda – to problem rosnącej liczby ataków na cały łańcuch dostaw IT i outsourcing supportu, a także braku realistycznych przepisów regulujących trwałe przechowywanie tego typu danych przez partnerów usług. Zwłaszcza, że obsługą klienta często zajmują się firmy w Indiach, czyli stolicy scamu.
Zwraca się uwagę, że zjawisko wzrostu liczby wymuszonych weryfikacji wieku (np. pod kątem przepisów UE, UK czy USA) rodzi poważną presję na platformy – a tym samym daje więcej możliwości pozyskania wrażliwych danych przez przestępców.
Discord ostrzega
Discord konsekwentnie odpiera zarzuty o większym zakresie wycieku. Hakerzy informują, że mają dostęp do 2 milionów zdjęć czy 1,5 TB danych – platforma określa to jako próbę szantażu. Zdaniem operatora, skala incydentu nie przekracza 70 tysięcy kont, a systemy samego Discorda nigdy nie zostały złamane.
Natychmiastowo wdrożono procedury „zero-trust”, odcięto API i dostęp do niektórych systemów, a osoby dotknięte problemem są na bieżąco informowane o ryzyku i możliwych kolejnych krokach.
Co robić i jak się bronić?
Chroń swoje dane wrażliwe i nie przesyłaj skanów dowodu ani selfie do supportu, o ile to nie jest bezwzględnie konieczne. Czasami lepiej założyć nowe konto niż ryzykować. Sprawdzaj, czy Twój adres e-mail nie pojawił się w bazach wycieków np. HaveIBeenPwned.
Zakładając konta z użyciem konta gmail możesz podać w adresie +nazwaserwisu np. mojeimie+discord@gmail.com. Co prawda nie zabezpieczy to przed atakiem, ale widząc wyciek wiesz od razu jaki serwis był problemem.
Weryfikuj oficjalność maili z Discord (adres noreply@discord.com). Zawsze korzystaj z 2FA (dwuskładnikowe uwierzytelnianie). Nie klikaj w podejrzane linki i nie podawaj dodatkowych danych „na życzenie supportu”.
Wyciek z 2025 roku pokazuje, że w cyfrowym świecie warto być nieufnym pesymistą i pamiętać, że w sieci prywatność to towar coraz trudniej dostępny – nawet na platformach roztaczających parasol ochronny nad młodymi użytkownikami.
