São Paulo — InkDesign News —
A plataforma de comunicação por voz e texto, Discord, confirmou um incidente de violação de dados que afeta um número significativo de usuários que enviaram identificações governamentais para verificação de idade. O ocorrido foi anunciado em uma atualização oficial no dia 3 de outubro de 2025 e não afetou os sistemas principais do Discord.
Incidente e vulnerabilidade
Segundo a declaração mais recente do Discord, publicada em 8 de outubro de 2025, aproximadamente 70.000 usuários em todo o mundo podem ter tido fotos de seus IDs governamentais expostas na violação. O ataque ocorreu por meio de um provedor de serviços ao cliente terceirizado, o Zendesk, que, segundo os invasores, foi comprometido por cerca de 58 horas, a partir de 20 de setembro de 2025. Eles supostamente acessaram um sistema de suporte ao cliente ao comprometer uma conta pertencente a um agente de suporte de uma empresa terceirizada utilizada pelo Discord.
Impacto e resposta
Os atacantes alegam ter acesso a 1,6 TB de dados, afetando 5,5 milhões de usuários únicos, explorando a aplicação interna de suporte do Zendesk. Este acesso aos dados sensíveis abrangia números de telefone, e-mails e informações internas por meio de consultas de API. O Discord, em resposta, destacou que as informações circulating pelos atacantes são inverídicas e fazem parte de uma tentativa de extorsão. O porta-voz do Discord declarou:
“Primeiro, conforme afirmado em nosso post no blog, essa não foi uma violação do Discord, mas sim de um serviço de terceiros que utilizamos para apoiar nossos esforços de atendimento ao cliente. Em segundo lugar, os números sendo compartilhados estão incorretos e fazem parte de uma tentativa de extorquir um pagamento do Discord.”
(“First, as stated in our blog post, this was not a breach of Discord, but rather a third-party service we use to support our customer service efforts. Second, the numbers being shared are incorrect and part of an attempt to extort a payment from Discord.”)— Discord
Mitigações recomendadas
Como medida preventiva, os usuários afetados devem imediatamente habilitar a Autenticação Multi-Fator (MFA) em suas contas de Discord e e-mails associados. Além disso, é aconselhável monitorar relatórios de crédito e financeiros para identificar possíveis tentativas de roubo de identidade. O Discord recomendou que as comunicações oficiais provenham apenas do e-mail [email protected]. O objetivo declarado da empresa é proteger os dados pessoais dos usuários, reconhecendo a preocupação gerada pelo incidente.
Os impactos remanescentes e os próximos passos na segurança envolvem a supervisão contínua e avaliações de risco para fortalecer a proteção contra futuras ameaças decorrentes da exposição dos dados.
Fonte: (Hack Read – Segurança Cibernética)
