Discordは、同社のZendeskサポート・システム・インスタンスから550万人のユニーク・ユーザーのデータを盗んだと主張する脅威行為者に対し、政府IDや一部の人々の支払い情報を含め、支払いを行わないとしている。
同社はまた、今回の情報流出で210万人分の政府身分証明書の写真が公開されたという主張に対して、約7万人のユーザーが政府身分証明書の写真が公開されたと反論している。
攻撃者は、情報漏洩はDiscordのZendeskサポート・インスタンスを通じて発生したと主張しているが、同社はこれを確認しておらず、カスタマー・サポートに使用されているサードパーティ・サービスが関与していると説明するにとどめている。
「Discordは声明の中で、”まず、私たちのブログの投稿に記載されているように、これはDiscordの侵害ではなく、むしろ私たちの顧客サービスの取り組みをサポートするために使用しているサードパーティのサービスでした。
「第二に、共有されている数字は不正確であり、Discordから支払いを強要する試みの一部です。全世界で影響を受けたアカウントのうち、私たちのベンダーが年齢関連のアピールを審査するために使用した政府IDの写真が流出した可能性のある約7万人のユーザーを特定しました。”
“第三に、我々は違法行為の責任者に報酬を与えない。”
ハッカーとの会話の中で、Discordは情報漏洩の深刻さについて透明性を欠いており、同社のZendeskインスタンスから1.6TBのデータを盗んだと述べた。
脅威行為者によると、彼らは2025年9月20日から58時間、DiscordのZendeskインスタンスにアクセスした。しかし、攻撃者によると、この侵入はZendeskの脆弱性や違反からではなく、Discordが利用しているアウトソーシングのビジネス・プロセス・アウトソーシング(BPO)プロバイダーを通じて雇用されたサポート・エージェントのアカウントが侵害されたことが原因だという。
多くの企業がサポートやITヘルプデスクをBPOに委託しているため、BPOは攻撃者が下流の顧客環境にアクセスする格好の標的となっている。
ハッカーたちは、Discord社内のZendeskインスタンスからZenbarとして知られるサポート・アプリケーションにアクセスし、多要素認証を無効にしたり、ユーザーの電話番号や電子メールアドレスを調べたりといった、サポート関連のさまざまなタスクを実行できたと主張している。
Discordのサポート・プラットフォームへのアクセスを使って、攻撃者は約1.5TBのチケット添付ファイルや100GB以上のチケット記録を含む1.6テラバイトのデータを盗んだと主張している。
ハッカーによると、これは550万人のユニークユーザーに影響するおよそ840万件のチケットで構成されており、およそ58万人のユーザーが何らかの支払い情報を含んでいたという。
脅威行為者自身は、どれだけの政府IDが盗まれたかは不明であると認めているが、約52万1000件の年齢確認チケットがあったとしていることから、7万件以上ではないかと考えている。
脅威行為者はまた、盗まれたユーザーデータのサンプルを共有した。このデータには、電子メールアドレス、Discordのユーザー名とID、電話番号、一部の支払い情報、生年月日、多要素認証関連情報、不審な行動レベル、その他の内部情報など、さまざまな情報が含まれる可能性がある。
一部のユーザーの支払い情報は、ZendeskとDiscordの社内システムとの統合によって取得できたとされている。これらの統合により、攻撃者はZendeskプラットフォームを通じてDiscordの内部データベースに何百万回ものAPIクエリを実行し、さらなる情報を取得することができたと報告されている。
しかし、ハッカーの主張や提供されたデータサンプルの信憑性を独自に検証することはできなかった。
ハッカーによると、このグループは身代金として500万ドルを要求し、後に350万ドルに減額し、9月25日から10月2日にかけてDiscordと個人的な交渉を行ったという。
Discordが通信を停止し、この事件に関する公式声明を発表した後、攻撃者は「非常に怒っている」と述べ、恐喝要求が支払われない場合はデータを公にリークする予定だと述べた。
Discordは、年齢認証を完了した後も政府発行のIDを保持する理由など、これらの主張について追加の質問をDiscordに問い合わせたが、上記の声明以上の回答は得られなかった。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
今年のセキュリティ検証イベントPicus BASサミット
Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。
セキュリティ戦略の未来を形作るイベントをお見逃しなく。
Comments