Discord mengatakan mereka tidak akan membayar pelaku ancaman yang mengklaim telah mencuri data 5,5 juta pengguna unik dari sistem dukungan Zendesk perusahaan, termasuk ID pemerintah dan informasi pembayaran sebagian untuk beberapa orang.
Perusahaan juga menolak klaim bahwa 2,1 juta foto tanda pengenal pemerintah terungkap dalam pelanggaran tersebut, dengan menyatakan bahwa sekitar 70,000 pengguna memperlihatkan foto tanda pengenal pemerintah mereka.
Meskipun penyerang mengklaim pelanggaran terjadi melalui layanan dukungan Zendesk Discord, perusahaan belum mengonfirmasi hal ini dan hanya menggambarkannya melibatkan layanan pihak ketiga yang digunakan untuk dukungan pelanggan.
“Pertama, seperti yang dinyatakan dalam postingan blog kami, ini bukan pelanggaran terhadap Discord, melainkan layanan pihak ketiga yang kami gunakan untuk mendukung upaya layanan pelanggan kami,” kata Discord kepada BleepingComputer dalam sebuah pernyataan.
Kedua, nomor yang dibagikan tidak benar dan merupakan bagian dari upaya untuk memeras pembayaran dari Discord. Dari akun-akun yang terkena dampak secara global, kami telah mengidentifikasi sekitar 70.000 pengguna yang mungkin telah mengekspos foto tanda pengenal pemerintah, yang digunakan vendor kami untuk meninjau banding terkait usia.
Ketiga, kami tidak akan memberi penghargaan kepada mereka yang bertanggung jawab atas tindakan ilegal mereka.
Dalam percakapan dengan para peretas, BleepingComputer diberitahu bahwa Discord tidak transparan mengenai tingkat keparahan pelanggaran, menyatakan bahwa mereka mencuri 1,6 TB data dari instance Zendesk perusahaan.
Menurut pelaku ancaman, mereka memperoleh akses ke instance Zendesk Discord selama 58 jam mulai tanggal 20 September 2025. Namun, para penyerang mengatakan pelanggaran tersebut tidak berasal dari kerentanan atau pelanggaran Zendesk melainkan dari akun yang disusupi milik agen pendukung yang dipekerjakan melalui penyedia proses bisnis outsourcing (BPO) yang digunakan oleh Discord.
Karena banyak perusahaan yang mengalihkan dukungan dan meja bantuan TI mereka ke BPO, mereka telah menjadi target populer bagi penyerang untuk mendapatkan akses ke lingkungan pelanggan hilir.
Para peretas menuduh bahwa instance Zendesk internal Discord memberi mereka akses ke aplikasi dukungan, yang dikenal sebagai Zenbar, yang memungkinkan mereka melakukan berbagai tugas terkait dukungan, seperti menonaktifkan otentikasi multi-faktor dan mencari nomor telepon dan alamat email pengguna.
Dengan menggunakan akses ke platform dukungan Discord, para penyerang mengklaim telah mencuri 1,6 terabyte data, termasuk sekitar 1,5 TB lampiran tiket dan lebih dari 100 GB transkrip tiket.
Para peretas mengatakan ini terdiri dari sekitar 8,4 juta tiket yang memengaruhi 5,5 juta pengguna unik, dan sekitar 580.000 pengguna berisi semacam informasi pembayaran.
Pelaku ancaman sendiri mengakui kepada BleepingComputer bahwa mereka tidak yakin berapa banyak tanda pengenal pemerintah yang dicuri, namun mereka yakin jumlahnya lebih dari 70.000, karena mereka mengatakan ada sekitar 521.000 tiket verifikasi usia.
Pelaku ancaman juga membagikan sampel data pengguna yang dicuri, yang dapat mencakup berbagai informasi, termasuk alamat email, nama pengguna dan ID Discord, nomor telepon, informasi pembayaran sebagian, tanggal lahir, informasi terkait autentikasi multifaktor, tingkat aktivitas mencurigakan, dan informasi internal lainnya.
Informasi pembayaran untuk beberapa pengguna diduga dapat diambil melalui integrasi Zendesk dengan sistem internal Discord. Integrasi ini dilaporkan memungkinkan penyerang melakukan jutaan kueri API ke database internal Discord melalui platform Zendesk dan mengambil informasi lebih lanjut.
BleepingComputer tidak dapat memverifikasi klaim peretas atau keaslian sampel data yang diberikan secara independen.
Peretas mengatakan kelompok tersebut meminta uang tebusan sebesar $5 juta, kemudian dikurangi menjadi $3,5 juta, dan terlibat dalam negosiasi pribadi dengan Discord antara 25 September dan 2 Oktober.
Setelah Discord menghentikan komunikasi dan merilis pernyataan publik tentang insiden tersebut, para penyerang mengatakan mereka “sangat marah” dan berencana membocorkan data secara publik jika permintaan pemerasan tidak dipenuhi.
BleepingComputer menghubungi Discord dengan pertanyaan tambahan tentang klaim ini, termasuk mengapa mereka mempertahankan tanda pengenal pemerintah setelah menyelesaikan verifikasi usia, tetapi tidak menerima jawaban selain pernyataan di atas.
Acara Validasi Keamanan Tahun Ini: Picus BAS Summit
Bergabunglah dengan KTT Simulasi Pelanggaran dan Serangan dan mengalami masa depan validasi keamanan. Dengarkan dari pakar terkemuka dan lihat caranya BAS bertenaga AI sedang mengubah simulasi pelanggaran dan serangan.
Jangan lewatkan acara yang akan membentuk masa depan strategi keamanan Anda
