Discord potvrdil únik dat kvůli kompromitaci třetí strany – útočníci získali přístup k osobním údajům uživatelů

Společnost Discord oficiálně potvrdila bezpečnostní incident, při němž došlo ke kompromitaci třetí strany – poskytovatele zákaznické podpory. Útočníci tímto způsobem získali přístup k osobním údajům části uživatelů, včetně kontaktních údajů, IP adres a ve vybraných případech i snímků oficiálních dokladů totožnosti.

Dne 20. září 2025 došlo k útoku na externího poskytovatele zákaznické podpory, kterého Discord využívá pro řešení dotazů a sporů v rámci týmů Customer Support a Trust & Safety. Útočníci nezískali přístup přímo k platformě Discord, ale pouze k informacím, které uživatelé sdíleli v rámci komunikace s podporou.

Discord incident zveřejnil 3. října s tím, že okamžitě odebral přístup poskytovateli podpory k ticketovacímu systému, zahájil interní vyšetřování, povolal externí forenzní specialisty, informoval příslušné úřady na ochranu osobních údajů a spolupracuje s orgány činnými v trestním řízení.

Podle Discordu mohou být mezi kompromitovanými údaji jména, uživatelská jména, e-mailové adresy a další kontaktní informace, IP adresy, komunikace s týmy zákaznické podpory, částečné platební informace – typ platby, poslední čtyři číslice karty, historie nákupů, obrázky oficiálních dokladů totožnosti (např. pasy, řidičské průkazy) – pouze u uživatelů, kteří posílali dokumenty kvůli ověření věku a omezené množství interních firemních dat (např. školící materiály, prezentace).

Discord zároveň potvrdil, že útočníci nezískali přístup k úplným číslům platebních karet nebo CVV kódům, heslům, tokenům či autentizačním údajům, běžné komunikaci a aktivitám uživatelů na platformě Discord mimo podporu.

Útočníci podle Discordu požadovali výkupné výměnou za to, že data nezveřejní. Incident tak zapadá do širšího trendu útoků, které kombinují exfiltraci dat a vydírání (tzv. double extortion model). Discord uvedl, že dotčené uživatele kontaktuje prostřednictvím e-mailu z adresy noreply@discord.com.

Co tento incident ukazuje?

– Třetí strany jako slabý článek: Incident znovu potvrzuje, že i při dobrém zabezpečení core systémů může být dodavatelský řetězec kritickým bodem selhání.

– Zásadní je řízení přístupu: Externí poskytovatelé by měli mít přesně definovaný rozsah přístupu, omezený na minimum nutné pro jejich práci – a měli by být pravidelně auditováni.

– Transparentní přístup je klíčový: Discord poskytl poměrně otevřené a včasné informace – to je pozitivní příklad krizové komunikace, která minimalizuje reputační škody.

Ochrana uživatelských informací nespočívá pouze ve vlastním zabezpečení, ale i v důsledném řízení bezpečnosti v celém dodavatelském ekosystému. Uživatelé očekávají, že jejich důvěra nebude zneužita – a firmy by měly udělat vše pro to, aby tomu tak bylo.

Zdroj: discord.com

Zdroj ilustračního obrázku: appshunter.io on Unsplash