Datenleck bei Discord. Cyberkriminelle haben wohl tausende Ausweisfotos von der Social-Media-Plattform gestohlen. (Foto: photo_gonzo/Shutterstock)

Discord hat bestätigt, dass möglicherweise rund 70.000 Nutzer:innen von einem Datenleck betroffen sind, nachdem ein externer Kundenservice-Dienst kompromittiert wurde. Dabei könnten Cyberkriminelle Ausweisfotos erbeutet haben, die User:innen zur Altersverifikation hochgeladen haben.

Ein Angreifer behauptet, über 1,5 Terabyte an Daten mit mehr als zwei Millionen Fotos zu besitzen – laut Discord sind diese Zahlen aber falsch und Teil eines Erpressungsversuchs.

Kein direkter Angriff auf Discord selbst

Das Unternehmen betont in einem offiziellen Statement, dass nicht Discord selbst, sondern ein Drittanbieter Ziel des Angriffs war. Über diesen Dienst wickelte Discord Supportanfragen ab, darunter auch Altersnachweise.

Neben Ausweisbildern könnten dabei auch Namen, Nutzernamen, E-Mail-Adressen, IP-Adressen und die letzten vier Ziffern von Kreditkarten offengelegt worden sein. Alle betroffenen Konten seien inzwischen informiert worden, erklärte ein Sprecher gegenüber The Verge.

Discord reagiert und beendet Zusammenarbeit mit Dienstleister

Inzwischen hat Discord die Zusammenarbeit mit dem betroffenen Anbieter beendet und die Systeme gesichert. Vom Erpressungsversuch der Angreifer:innen will man sich nicht einschüchtern lassen und geht daher nicht auf die Forderungen der Cyberkriminellen ein.

Stattdessen arbeitet das Unternehmen nach eigenen Angaben eng mit Strafverfolgungsbehörden, Datenschutzbehörden und externen Sicherheitsexpert:innen zusammen, um den Vorfall aufzuklären. „Wir werden die Täter:innen nicht für ihre illegalen Handlungen belohnen“, heißt es in der Stellungnahme.

Erpressung und falsche Zahlen im Umlauf

Ein X-Post des Hacker-Kollektivs „vx-underground“ deutet darauf hin, dass die Täter:innen versuchen, Lösegeld von Discord zu erpressen. Dabei verbreiten sie laut dem Unternehmen absichtlich falsche Informationen über den Umfang des Leaks.

Discord unterstreicht, dass der tatsächliche Schaden weitaus geringer sei, betroffene Nutzer:innen aber dennoch vorsichtig sein sollten – insbesondere, wenn sie Ausweisdaten für Altersnachweise hochgeladen haben.

