São Paulo — InkDesign News — O Discord, a plataforma de comunicação amplamente utilizada para gamers e comunidades, confirmou um incidente de segurança em 3 de outubro de 2025, envolvendo uma vulnerabilidade em um de seus fornecedores de serviços ao cliente, resultando na exposição de informações pessoais de um número limitado de usuários.
Incidente e vulnerabilidade
O ataque ocorreu devido a uma violação nas sistemas de um fornecedor externo, aparentemente a Zendesk, que permitiu acesso não autorizado à fila de tickets de atendimento ao cliente, onde dados sensíveis estavam armazenados. O objetivo do atacante era inicializar uma demanda de resgate financeiro de Discord. Os dados expostos incluem nomes, nomes de usuário do Discord, endereços de e-mail e mensagens trocadas com agentes de atendimento ao cliente. Além disso, informações de pagamento limitadas, como o método de pagamento e os últimos quatro dígitos de um cartão de crédito, foram comprometidas.
A exposição de documentos como carteiras de identidade e passaportes submetidos para apelações de verificação de idade aumenta significativamente o risco de roubo de identidade para os indivíduos afetados.
(“The exposure of documents such as driver’s licenses and passports submitted for age verification appeals significantly increases the risk of identity theft for affected individuals.”)— Discord, Comunicado Oficial
Impacto e resposta
O impacto se estende aos usuários que recentemente interagiram com o suporte do Discord, elevado pelo fato de que acessos a identificações governamentais foram registradas na violação. Após a descoberta, a empresa revogou imediatamente o acesso do fornecedor ao seu sistema de tickets, e um inquérito interno foi iniciado, assistido por uma firma de forense computacional, cooperando também com as autoridades competentes. Discord notificou os usuários afetados através de e-mails enviados de um endereço oficial, trazendo preocupações na comunidade sobre tentativas de phishing.
A organização ressaltou que números completos de cartões de crédito e senhas não foram acessados.
(“The organization emphasized that full credit card numbers and passwords were not accessed.”)— Discord, Comunicado Oficial
Mitigações recomendadas
Para minimizar riscos residuais, recomenda-se que os usuários afetados adotem práticas adicionais de defesa, como alterar senhas e habilitar a autenticação de dois fatores em suas contas. As empresas que utilizam serviços de terceiros devem revisar e aumentar a segurança de seus fornecedores, além de implementar testes regulares de penetração. Embora o incidente tenha origens em um fornecedor externo, a continuidade dos padrões de segurança do Discord poderá ser revisada para fortalecer a integridade do sistema a longo prazo.
Somente o tempo pode revelar os passos próximos que a empresa tomará em resposta a essa violação, enquanto a vigilância contínua sobre práticas de segurança se torna uma prioridade.
Fonte: (Hack Read – Segurança Cibernética)
