Ein Drittanbieter-Datenleck bei Discord hat zur Offenlegung von Ausweisfotos von über 70.000 Nutzern geführt. Die Angreifer zielten auf Zendesk, einen Dienstleister, der Kundensupport und Identitätsprüfungen für Discord abwickelt. Die Gruppe Scattered LAPSUS$ Hunters hat die Verantwortung für den Angriff übernommen. Der Vorfall verdeutlicht die Risiken, die entstehen, wenn Unternehmen die Verarbeitung sensibler Daten an externe Anbieter auslagern.
Wie der Vorfall ablief
Die Angreifer kompromittierten Zendesk, den Dienstleister, den Discord für Support- und Verifizierungszwecke nutzte. Sie verschafften sich Zugriff auf dessen Datenbank, in der Benutzer-IDs und Verifizierungsdaten gespeichert waren.
Discord bestätigte, dass die eigenen Hauptsysteme sicher blieben. Nach der Entdeckung des Vorfalls kappte das Unternehmen sofort den Zugriff des Anbieters und leitete eine Untersuchung ein.
Die Angreifer nutzten schwache Zugriffskontrollen und fehlerhafte Sicherheitskonfigurationen innerhalb der Zendesk-Infrastruktur aus.
Umfang der Datenoffenlegung
Die Angreifer behaupten, Daten von 5,5 Millionen Nutzern gesammelt zu haben, während Discord etwa 70.000 bestätigte ID-Exponierungen verifizierte. Die gestohlenen Daten umfassten:
- Vollständige Namen und Discord-Benutzernamen
- E-Mail-Adressen und IP-Protokolle
- Ausweisfotos, die zur Identitätsprüfung verwendet wurden
- Teilweise Zahlungsinformationen und Ticket-Anhänge
Scattered LAPSUS$ Hunters prahlten zudem damit, 521.000 Altersverifizierungs-Tickets gestohlen zu haben, was auf ein größeres Ausmaß hindeutet, als Discord zunächst bestätigte.
Die Rolle der Scattered LAPSUS$ Hunters
Die Gruppe Scattered LAPSUS$ Hunters, bekannt für Angriffe auf große Technologieunternehmen, übernahm die Verantwortung für den Einbruch. Die Hacker gaben an, fast 60 Stunden lang Kontrolle über die Zendesk-Umgebung von Discord gehabt zu haben. In dieser Zeit deaktivierten sie die Multi-Faktor-Authentifizierung und luden über 1,5 Terabyte interner Daten herunter.
Die Gruppe kombiniert typischerweise Social Engineering mit gezielten Exploits, um Sicherheitsmechanismen von Dienstleistern zu umgehen.
Risiken durch Drittanbieter
Cybersicherheitsexperten warnen, dass dieser Vorfall das Risiko verdeutlicht, wenn sensible Daten an externe Anbieter ausgelagert werden. Sobald Drittanbieter persönliche Informationen speichern, werden sie zu bevorzugten Zielen für Angreifer.
Besonders kritisch ist der Verlust von amtlichen Ausweisdaten – sie können nicht ersetzt oder gesperrt werden, sobald sie offengelegt sind. Experten fordern, dass Unternehmen ihre externen Anbieter genauso streng überwachen wie ihre internen Systeme.
Die Reaktion von Discord
Discord entzog dem betroffenen Anbieter umgehend den Zugriff und informierte die Strafverfolgungsbehörden. Das Unternehmen benachrichtigt derzeit betroffene Nutzer direkt. Sicherheitsteams überprüfen außerdem, wie Dienstleister ID-Verifizierungen und Supportdaten speichern.
Discord kündigte an, die Aufsicht über externe Anbieter zu verschärfen und die Menge sensibler Daten zu reduzieren, die Drittparteien speichern dürfen.
Fazit
Der Drittanbieter-Vorfall bei Discord zeigt, dass selbst indirekte Schwachstellen erhebliche Datenschutzrisiken für Nutzer darstellen können. Die Angreifer nutzten eine einzige externe Schwachstelle, um Tausende von Regierungs-IDs zu kompromittieren. Unternehmen, die auf externe Anbieter angewiesen sind, müssen strengere Sicherheitsprüfungen und engere Zugriffskontrollen durchsetzen, um ähnliche Vorfälle zu verhindern.
0 Antworten zu „Drittanbieter-Datenpanne bei Discord legt 70.000 Regierungs-IDs offen“