Discord: Datenleck bei 70.000 Nutzern durch Angriff auf Dienstleister

Ein gezielter Cyberangriff hat sensible Daten von rund 70.000 Discord-Nutzern preisgegeben. Der Kommunikationsplattform wurde zum Verhängnis, was vielen Unternehmen droht: Hacker griffen nicht Discord selbst an, sondern einen externen Support-Dienstleister.

Die Angreifer verschafften sich Zugang zu Ausweisfotos, Namen und E-Mail-Adressen von Nutzern, die sich an den Kundendienst gewandt hatten. Discord bestätigte den Vorfall diese Woche und betonte: Die eigenen Systeme blieben unversehrt. Dennoch zeigt der Fall, wie verwundbar Unternehmen durch ihre Geschäftspartner werden.

Ausweisfotos und Zahlungsdaten im Visier

Betroffen sind vor allem Nutzer, die sich für Altersverifikationen an Discord gewandt hatten. Die Hacker erbeuteten dabei hochsensible Informationen: staatlich ausgestellte Ausweisdokumente, Discord-Nutzernamen und IP-Adressen. Auch Zahlungsinformationen gerieten in die Hände der Kriminellen – allerdings nur Teildaten wie die letzten vier Ziffern der Kreditkarte.

Vollständige Kreditkartennummern oder Passwörter blieben verschont, versichert das Unternehmen aus San Francisco. Private Nachrichten auf der Plattform waren ebenfalls nicht betroffen. Dennoch ist der Schaden beträchtlich: Ausweisfotos öffnen Tür und Tor für Identitätsdiebstahl.

Erpressung erfolglos – Ermittlungen laufen

Die Angreifer wollten Discord erpressen und forderten Lösegeld für die gestohlenen Daten. Das Unternehmen verweigerte jede Zahlung und schaltete sofort die Behörden ein. Ende September entdeckt, kappte Discord umgehend alle Verbindungen zum kompromittierten Dienstleister.

Ein spezialisiertes Forensik-Unternehmen untersucht nun den Vorfall. Den Namen des betroffenen Dienstleisters hält Discord unter Verschluss – vermutlich um weitere Angriffe zu verhindern.

Das Passwort-Problem verschärft die Lage

Auch wenn schwache Passwörter nicht Ursache dieser Attacke waren, verdeutlicht der Fall ein grundsätzliches Problem: 98,5 Prozent aller Passwörter erfüllen nicht einmal Mindeststandards. Viele Nutzer setzen nach wie vor auf vorhersagbare Kombinationen wie „Sommer22“ oder verwenden identische Passwörter für mehrere Dienste.

Diese Praxis wird zum Bumerang, sobald Daten gestohlen werden. Cyberkriminelle nutzen sogenanntes „Credential Stuffing“ – sie testen gestohlene Zugangsdaten automatisiert bei anderen Anbietern. Eine kürzlich entdeckte Datenbank mit 16 Milliarden Zugangsdaten aus vergangenen Hacks befeuert solche Angriffe zusätzlich.

Vertrauen als größter Schaden

Für Discord wiegt der Vertrauensverlust schwerer als mögliche Bußgelder. Studien zeigen: Die Mehrheit der Verbraucher wendet sich nach Datenpannen von betroffenen Unternehmen ab. Bei Ausweisdaten ist das Risiko besonders hoch – sie ermöglichen gezielte Betrügereien über Jahre hinweg.

Sicherheitsexperten warnen vor einer wachsenden Angriffsfläche durch externe Dienstleister. Was als Effizienzgewinn gedacht war, wird zur Achillesferse: Je mehr Unternehmen ihre Prozesse auslagern, desto mehr Schwachstellen entstehen.

Schutz vor den Folgen

Discord benachrichtigt alle betroffenen Nutzer per E-Mail von der offiziellen Adresse „noreply@discord.com“. Das Unternehmen warnt vor gefälschten Nachrichten, die die gestohlenen Daten für Phishing-Angriffe nutzen könnten.

Anzeige: Übrigens: Wer sich vor Phishing und Datendiebstahl auf dem Smartphone schützen möchte: Viele Android-Nutzer übersehen 5 wichtige Einstellungen, die WhatsApp, Online-Banking und Shopping deutlich sicherer machen. Ein kostenloser Ratgeber erklärt die Schritte ohne Fachchinesisch – ganz ohne teure Zusatz-Apps. Kostenloses Android-Sicherheitspaket jetzt anfordern

Die Branche wird verschärfte Sicherheitsanforderungen für Dienstleister diskutieren müssen. Für Verbraucher bleibt die bewährte Regel: einzigartige, komplexe Passwörter für jeden Dienst, Zwei-Faktor-Authentifizierung aktivieren und sparsam mit persönlichen Daten umgehen. Passwort-Manager und moderne Authentifizierungsmethoden wie Passkeys bieten zusätzlichen Schutz vor den Risiken klassischer Passwörter.