Discord遭駭多筆使用者個資外洩！駭客聯盟揚言公開更多內部資料

記者孫敬／編譯

知名通訊平台Discord近日卻證實發生一起資安事件，導致「有限數量的用戶」個人資訊遭到外洩。Discord 於10月3日發布官方更新，解釋這次攻擊是由於外部客戶服務供應商（外界推測為Zendesk）的系統遭到駭客入侵，攻擊者成功獲得儲存敏感客戶資料的支援人員工單佇列（ticket queue）的未授權存取權。Discord強調，自家主要系統並未受到直接侵害，但調查人員發現，駭客的首要目標是向Discord勒索贖金。

延伸閱讀：不只看台積電！宏碁董事長揭PC品牌營運成本將因英特爾、輝達合作提高

Discord協力廠商淪為破口 國籍證件、敏感個資全曝光

這次資安事件所暴露的數據，僅限於近期曾聯繫Discord客服或信任與安全團隊的用戶，包括用戶的姓名、Discord使用者名稱、電子郵件地址和其他聯絡資訊，以及與客服人員交換的實際訊息內容。此外，駭客也存取了有限的帳單細節，特別是付款方式和信用卡號的末四碼。

同時，攻擊者還取得了少量由用戶為進行年齡驗證上訴而提交的政府核發身份證件圖像，例如駕照或護照。這些高風險文件的大量外洩，顯著增加了受影響個體面臨身份盜用的風險。

在發現遭到攻擊後，Discord立即撤銷該客服公司對工單系統的存取權限，並啟動了內部調查，聘請了知名的電腦鑑識公司協助處理修復工作，並配合執法單位進行調查。Discord證實已通知相關的資料保護機構。雖然Discord明確指出哪些數據被竊取，但對於攻擊的範圍、供應商名稱、受影響用戶的數量以及洩露持續時間等關鍵細節，該公司則選擇保持緘默。

目前，Discord已透過官方電子郵件通知受影響用戶，但大量的通知郵件，也引發社群內用戶對於郵件真實性的擔憂，凸顯了不法分子發動網路釣魚（Phishing）攻擊的風險。不過Discord已向用戶保證，完整的信用卡號、密碼以及平台上的私人訊息並未遭到存取。

駭客組織「Scattered Lapsus$ Hunters」坦承犯案

儘管撰寫本文時，尚不清楚幕後主使者是誰，但名為「Scattered Lapsus$ Hunters」的駭客聯盟（內含Scattered Spider、Lapsu$和ShinyHunters的駭客集團們）已出面承認對這次網路攻擊。

該組織在Telegram上分享了螢幕截圖，似乎顯示他們取得了Discord內部工具的存取權，包括資料隱私儀表板（Data privacy dashboards）和管理資源，並附帶嘲諷Discord公司的訊息。駭客組織在貼文中不屑一顧地表示，Discord採取的安全措施，例如禁用Okta和Kolide登入，並不能阻止進一步的入侵，並透露了所謂的內部網路名稱「SLHM」，同時威脅將在「數據洩露網站」（Data Leak Site, DLS）上發布更多竊取的資料。

據資安媒體Hackread.com報導，DLS是Scattered LAPSUS$ Hunters創建的公開平台，用於展示聲稱竊取的數據，該組織曾宣稱在此平台出售Salesforce洩露的十億筆記錄。透過這種方式，DLS不僅作為洩露檔案的存檔，更是一種施壓工具，迫使目標公司曝光並加劇對攻擊者要求的關注。

然而，這已不是Discord 第一次陷入資安泥淖，該平台在2025年中旬曾遭到威脅行為者冒充平台分發Epsilon Red勒索軟體，隨後又在同年八月發生一起利用Discord內容傳遞網路（CDN）進行的惡意軟體攻擊。

資料來源：Hackread