Discord подтвердил утечку данных через стороннего подрядчика: украдены личные данные и изображения удостоверений личности

3 октября компания Discord подтвердила нарушение безопасности, связанное с одним из сторонних поставщиков услуг поддержки клиентов. В результате атаки злоумышленники получили доступ к системе тикетов подрядчика, что позволило им просмотреть персональные данные пользователей, обращавшихся в службу поддержки или в отдел Trust & Safety.

Discord не раскрывает имя подрядчика и не уточняет дату инцидента, отметив лишь, что утечка была обнаружена недавно. Учитывая, что среди похищенных данных оказались изображения удостоверений личности, предполагается, что взлом произошёл в период между вступлением в силу британского закона Online Safety Act 25 июля 2025 года и 3 октября, когда компания публично сообщила о случившемся.

Какие данные оказались под угрозой

Согласно официальному заявлению, злоумышленники получили доступ к информации, собранной командами Customer Support и Trust & Safety. Среди скомпрометированных данных:

• имя и Discord-ник пользователя;
• адрес электронной почты и контактные данные, указанные при обращении в поддержку;
• переписка пользователей с сотрудниками поддержки;
• IP-адреса;
• тип платежного средства, последние четыре цифры карты и история транзакций;
• сканы удостоверений личности, предоставленные при подтверждении или обжаловании возраста;
• внутренние документы компании — обучающие материалы, презентации и инструкции.

«Неавторизованная сторона также получила доступ к небольшому количеству изображений государственных удостоверений личности (например, водительских прав или паспортов) пользователей, которые обжаловали определение своего возраста. Если ваш документ мог попасть в число похищенных, об этом будет указано в полученном вами письме», — заявила компания Discord.

При этом Discord утверждает, что полные номера банковских карт и пароли не были раскрыты. Однако сам факт утечки изображений удостоверений личности вызывает вопросы, учитывая прежние заявления компании.

Противоречия в политике конфиденциальности

Лишь за несколько недель до инцидента, 21 июля, Discord опубликовал материал, где утверждалось, что компания не хранит личные документы и видео-селфи пользователей:

«Мы не храним личные документы и видео-селфи пользователей. Изображения удостоверений личности и фото для сверки удаляются сразу после подтверждения возраста, а видео-селфи не покидает устройство пользователя».

Теперь же компания вынуждена признать, что хакеры получили эти изображения. Это ставит под сомнение политику обращения с персональными данными и вызывает закономерный вопрос: как эти данные вообще могли попасть в руки третьей стороны, если заявлялось, что они удаляются сразу после проверки?

Проверка возраста, введённая для соблюдения законодательства в Великобритании и Австралии, теперь обернулась утечкой личных документов — и это уже не первый случай, когда вопросы к безопасности Discord оказываются в центре внимания.

Действия компании

Discord незамедлительно отозвал у скомпрометированного подрядчика доступ к своим системам и инициировал внутреннее расследование с привлечением специалистов по компьютерной криминалистике. Компания также сотрудничает с правоохранительными органами для установления обстоятельств инцидента.

Пользователи, чьи данные могли быть затронуты, получат уведомление с адреса [email protected] с разъяснением деталей и рекомендациями по безопасности. Discord предупреждает о возможных фишинговых атаках и советует с осторожностью относиться к письмам и ссылкам, поступающим якобы от компании.

Контекст и предыдущие инциденты

2025 год уже отметился несколькими проблемами с безопасностью на платформе. Ранее пользователи сообщали о распространении вредоносных ссылок на серверах Discord, которые устанавливали шпионское ПО и похищали личные данные. На фоне этих событий компания активно обновляет интерфейс и добавляет новые инструменты безопасности, включая функцию Ignore для управления взаимодействиями.

Тем не менее, утечка данных через стороннего подрядчика вновь поставила под сомнение готовность Discord обеспечивать защиту пользователей и выполнять собственные обещания по конфиденциальности.

Последствия для репутации

Инцидент стал серьёзным ударом по репутации компании. Discord — одна из крупнейших коммуникационных платформ в мире, и утечка столь чувствительных данных подрывает доверие к её внутренним процессам. Для восстановления репутации компании предстоит доказать, что рост инфраструктуры и соблюдение законодательства не идут вразрез с безопасностью и приватностью пользователей.

Итог прост: между обещаниями и реальностью — всего один шаг. Проверка возраста обернулась утечкой личных данных.