Thought Leadership
Nach einem Angriff auf einen externen Dienstleister haben Hacker Kundendaten von Discord-Nutzern erbeutet. Betroffen sind unter anderem Ausweisdokumente und Zahlungsinformationen.
Die ursprünglich für Gamer geschaffene Kommunikationsplattform Discord hat einen Sicherheitsvorfall bekannt gegeben, bei dem Cyberkriminelle über einen kompromittierten Drittanbieter Zugriff auf Support-Tickets erlangten. Der Angriff ereignete sich am 20. September und betraf nach Unternehmensangaben “eine begrenzte Anzahl” von Nutzern, die mit dem Kundensupport oder dem Trust-and-Safety-Team der Plattform interagiert hatten.
Umfang der erbeuteten Daten
Die Angreifer verschafften sich Zugang zu sensiblen personenbezogenen Daten. Dazu gehören vollständige Namen und Nutzernamen, E-Mail-Adressen sowie weitere Kontaktinformationen, die Nutzer an den Support übermittelt hatten. Auch IP-Adressen, Nachrichten und Dateianhänge aus der Kommunikation mit Support-Mitarbeitern fielen in die Hände der Hacker.
Bei einer kleineren Gruppe von Betroffenen erbeuteten die Angreifer Fotos staatlich ausgestellter Ausweisdokumente wie Führerscheine oder Reisepässe. Zudem wurden partielle Zahlungsinformationen kompromittiert, darunter die letzten vier Ziffern von Kreditkartennummern, Zahlungsarten und Kaufhistorien.
Lösegeldforderung und Reaktion
Die Hacker forderten nach dem Angriff ein Lösegeld von Discord, um die gestohlenen Informationen nicht zu veröffentlichen. Discord reagierte umgehend, indem das Unternehmen den Zugang des betroffenen Dienstleisters zum Ticketsystem sperrte und eine interne Untersuchung einleitete. Außerdem wurde ein forensisches IT-Sicherheitsunternehmen hinzugezogen und Strafverfolgungsbehörden informiert.
Die Hackergruppe “Scattered Lapsus$ Hunters” (SLH) reklamierte den Angriff für sich und bestätigte gegenüber BleepingComputer, dass die Kompromittierung über Zendesk erfolgte. Ein von den Angreifern veröffentlichtes Bild zeigt eine Zugriffskontrollliste von Kolide für Discord-Mitarbeiter mit Admin-Zugang. Kolide ist eine Device-Trust-Lösung, die mit Oktas cloudbasiertem Identity-and-Access-Management-System für Multi-Faktor-Authentifizierung verbunden ist.
