Popüler ses ve metin platformu Discord, yaş doğrulaması için resmi kimlik belgesi gönderen önemli sayıda kullanıcısını etkileyen bir veri ihlali olayını doğruladı. Aylık 200 milyondan fazla aktif kullanıcıya sahip olan Discord, ihlali 3 Ekim 2025’te Hackread.com tarafından bildirilen resmi bir güncellemeyle doğruladı. Bu güncelleme, güvenlik ihlalinin Discord’un ana sistemlerini etkilemediğini açıkladı.
Discord’un 8 Ekim 2025’te yayınlanan son açıklamasına göre, dünya genelinde yaklaşık 70.000 kullanıcının devlet tarafından verilmiş kimliklerinin fotoğrafları ihlal nedeniyle açığa çıkmış olabilir. Bu güvenlik hatasının doğrudan Discord’un ana sistemlerinde değil, platformun üçüncü taraf müşteri hizmetleri sağlayıcılarından biri aracılığıyla meydana geldiğini belirtmekte fayda var. Destek operasyonları için dış tedarikçilere olan bu güven, birçok şirket için ortak bir güvenlik açığı noktası haline geldi.
Daha ayrıntılı incelemeler, sorumluluğu üstlenen saldırganların, Discord’un Zendesk örneği olduğunu iddia ettikleri bir müşteri destek sistemine 20 Eylül 2025’ten itibaren yaklaşık 58 saat boyunca eriştiklerini ortaya çıkardı. Bu erişime, Discord tarafından kullanılan dış kaynaklı bir şirketteki bir destek temsilcisine ait bir hesabın güvenliğini ihlal ederek erişim sağladıkları bildirildi.
Çatışan İddialar ve Gasp Girişimi
Discord, açığa çıkan kimlik fotoğraflarını, başta yaşla ilgili kararlara itiraz edenler olmak üzere yaklaşık 70.000 kullanıcıyla sınırlandırırken, saldırganlar çok daha büyük bir hedef talep ediyor. Bilginiz olsun diye söylüyorum, VX-underground 8 Ekim 2025’te, bilgisayar korsanlarının 1,5 TB yaş doğrulamayla ilgili fotoğrafları çaldıklarını ve 2,1 milyon Discord kullanıcısının ehliyet ve/veya pasaportlarının sızdırılmış olabileceğini iddia ettiğini bildirdi.
Bilgisayar korsanları, Zendesk’in MFA’yı devre dışı bırakma ve API sorguları yoluyla kullanıcıların telefon numaralarını, e-postalarını ve dahili verilerini alma gibi hassas eylemleri gerçekleştirmelerine olanak tanıyan dahili destek uygulamasından (Zenbar) yararlanarak 1,6 TB veri çaldıklarını ve 5,5 milyon tekil kullanıcıyı etkilediklerini iddia ediyor.
521.000 yaş doğrulama biletinin söz konusu olduğunu iddia ediyorlar, bu da ifşa edilen kimlik sayısının Discord tarafından onaylanan 70.000’den çok daha fazla olduğunu gösteriyor (Bu iddialar doğrulanmadı).
Buna yanıt olarak Discord, saldırganların gasp girişiminin bir parçası olarak müşteri hizmetleri sağlayıcısının ihlali hakkında yanlış bilgi yaydığını kamuoyuna açıkladı. Ancak Discord’un açıklaması duruma ve sonraki adımlara açıklık getiriyor.
“Öncelikle, blog gönderimizde de belirttiğimiz gibi, bu bir Discord ihlali değil, daha ziyade müşteri hizmetleri çabalarımızı desteklemek için kullandığımız bir üçüncü taraf hizmetidir. İkincisi, paylaşılan numaralar yanlıştır ve Discord’dan zorla ödeme alma girişiminin bir parçasıdır… Üçüncüsü, yasa dışı eylemlerinden sorumlu olanları ödüllendirmeyeceğiz.”
Anlaşmazlık
Discord ayrıca dünya çapında etkilenen tüm kullanıcıları bilgilendirdiğini ve kolluk kuvvetleri, veri koruma yetkilileri ve dış güvenlik uzmanlarıyla yakın işbirliği içinde çalıştığını doğruladı. Şirket, etkilenen sistemlerin güvenliğini sağladığını ve güvenliği ihlal edilen satıcıyla ilişkisini sonlandırdığını belirtti. Kullanıcıların kişisel verilerinin korunmasının en önemli öncelik olmaya devam ettiğini ekledi ve olayın neden olabileceği endişeyi kabul etti.
Etkilenen Kullanıcılar için Güvenlik Adımları
Destek talepleri sırasında sağlanan bilgileri içeren açıkta kalan kullanıcı verileri, gerçek isimleri, kullanıcı adlarını, e-posta adreslerini, iletişim bilgilerini, IP adreslerini ve kredi kartının son dört hanesi gibi kısmi ödeme bilgilerini içerebilir. Ancak Discord, tam kredi kartı numaralarına, şifrelere veya kimlik doğrulama verilerine erişilmediğini doğruladı.
Yine de etkilenen tüm kullanıcıların Discord’larında ve ilgili e-posta hesaplarında Çok Faktörlü Kimlik Doğrulamayı (MFA) derhal etkinleştirmesi ve kimlik avı girişimlerine karşı tetikte olması gerekir. Discord’un resmi iletişiminin yalnızca şuradan geldiğini unutmayın: [email protected]. Devlet kimliğiniz ele geçirildiyse kimlik hırsızlığı açısından kredi ve mali raporlarınızı izleyin.