Discord, şirketin Zendesk destek sistemi örneğinden 5,5 milyon tekil kullanıcıya ait devlet kimlikleri ve bazı kişilerin kısmi ödeme bilgileri de dahil olmak üzere verilerini çaldığını iddia eden tehdit aktörlerine ödeme yapmayacaklarını söyledi.
Şirket ayrıca, ihlalde 2,1 milyon resmi kimlik fotoğrafının ifşa edildiği yönündeki iddiaları da geri çeviriyor ve yaklaşık 70.000 kullanıcının resmi kimlik fotoğraflarının açığa çıktığını belirtiyor.
Saldırganlar ihlalin Discord’un Zendesk destek örneği üzerinden gerçekleştiğini iddia etse de şirket bunu doğrulamadı ve yalnızca müşteri desteği için kullanılan bir üçüncü taraf hizmetinin söz konusu olduğunu açıkladı.
Discord, BleepingComputer’a yaptığı açıklamada, “Öncelikle, blog yazımızda da belirtildiği gibi, bu bir Discord ihlali değil, müşteri hizmetleri çabalarımızı desteklemek için kullandığımız bir üçüncü taraf hizmetidir.” dedi.
“İkincisi, paylaşılan numaralar yanlış ve Discord’dan zorla ödeme alma girişiminin bir parçası. Dünya çapında etkilenen hesaplardan, satıcımızın yaşla ilgili itirazları incelemek için kullandığı resmi kimlik fotoğraflarının açığa çıkmış olabileceği yaklaşık 70.000 kullanıcı tespit ettik.”
“Üçüncüsü, yasa dışı eylemlerinden sorumlu olanları ödüllendirmeyeceğiz.”
Bilgisayar korsanlarıyla yapılan bir görüşmede BleepingComputer’a, Discord’un ihlalin ciddiyeti konusunda şeffaf olmadığı ve şirketin Zendesk örneğinden 1,6 TB veri çaldıkları söylendi.
Tehdit aktörüne göre, 20 Eylül 2025’ten itibaren 58 saat boyunca Discord’un Zendesk örneğine erişim elde ettiler. Ancak saldırganlar, ihlalin Zendesk’teki bir güvenlik açığından veya ihlalinden değil, Discord tarafından kullanılan bir dış kaynak iş süreci dış kaynak (BPO) sağlayıcısı aracılığıyla kullanılan bir destek temsilcisine ait ele geçirilmiş bir hesaptan kaynaklandığını söylüyor.
Pek çok şirket, destek ve BT yardım masalarını BPO’lara devrettiğinden, bunlar, saldırganların alt müşteri ortamlarına erişim sağlamaları için popüler bir hedef haline geldi.
Bilgisayar korsanları, Discord’un dahili Zendesk örneğinin kendilerine, çok faktörlü kimlik doğrulamayı devre dışı bırakmak ve kullanıcıların telefon numaralarını ve e-posta adreslerini aramak gibi destekle ilgili çeşitli görevleri gerçekleştirmelerine olanak tanıyan Zenbar olarak bilinen bir destek uygulamasına erişim sağladığını iddia ediyor.
Saldırganlar, Discord’un destek platformuna erişimi kullanarak, yaklaşık 1,5 TB bilet eki ve 100 GB’ın üzerinde bilet transkripti dahil olmak üzere 1,6 terabayt veriyi çaldıklarını iddia etti.
Bilgisayar korsanları, bunun 5,5 milyon tekil kullanıcıyı etkileyen yaklaşık 8,4 milyon biletten oluştuğunu ve yaklaşık 580.000 kullanıcının bir tür ödeme bilgisi içerdiğini söylüyor.
Tehdit aktörleri BleepingComputer’a kaç tane devlet kimliğinin çalındığından emin olmadıklarını ancak bunun 70.000’den fazla olduğuna inandıklarını, yaklaşık 521.000 yaş doğrulama bileti olduğunu söylediler.
Tehdit aktörleri ayrıca e-posta adresleri, Discord kullanıcı adları ve kimlikleri, telefon numaraları, kısmi ödeme bilgileri, doğum tarihi, çok faktörlü kimlik doğrulamayla ilgili bilgiler, şüpheli etkinlik düzeyleri ve diğer dahili bilgiler dahil olmak üzere çok çeşitli bilgileri içerebilen çalınan kullanıcı verilerinin bir örneğini de paylaştı.
Bazı kullanıcıların ödeme bilgilerinin, Discord’un dahili sistemleriyle Zendesk entegrasyonları yoluyla alınabildiği iddia edildi. Bu entegrasyonların, saldırganların Zendesk platformu aracılığıyla Discord’un dahili veritabanında milyonlarca API sorgusu gerçekleştirmesine ve daha fazla bilgi almasına olanak tanıdığı bildirildi.
BleepingComputer, bilgisayar korsanlarının iddialarını veya sağlanan veri örneklerinin gerçekliğini bağımsız olarak doğrulayamadı.
Bilgisayar korsanı, grubun 5 milyon dolar fidye talep ettiğini, daha sonra bu rakamı 3,5 milyon dolara düşürdüğünü ve 25 Eylül ile 2 Ekim tarihleri arasında Discord ile özel görüşmeler yaptığını söyledi.
Discord’un iletişimi kesmesi ve olayla ilgili kamuoyuna bir açıklama yayınlamasının ardından saldırganlar “son derece öfkeli” olduklarını ve şantaj talebinin ödenmemesi halinde verileri kamuya sızdırmayı planladıklarını söyledi.
BleepingComputer, yaş doğrulamasını tamamladıktan sonra neden resmi kimlikleri sakladıkları da dahil olmak üzere bu iddialarla ilgili ek sorular için Discord ile iletişime geçti ancak yukarıdaki ifadenin ötesinde yanıt alamadı.
Katılın İhlal ve Saldırı Simülasyon Zirvesi ve deneyimleyin güvenlik doğrulamanın geleceği. En iyi uzmanlardan bilgi alın ve nasıl olduğunu görün Yapay zeka destekli BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın