Discord: Datenleck betrifft 70.000 Nutzerdokumente

Die beliebte Kommunikationsplattform Discord bestätigte diese Woche einen schwerwiegenden Sicherheitsvorfall bei einem externen Dienstleister. Sensible Nutzerdaten wurden kompromittiert – darunter die personalausweis-ähnlichen Dokumente von rund 70.000 Menschen weltweit.

Der Angriff richtete sich nicht gegen Discords eigene Systeme, sondern gegen den Kundenservice-Partner 5CA. Dieses Unternehmen wickelt für Discord die Altersverifikation und Support-Anfragen ab. Ende September entdeckte Discord die Sicherheitslücke, am 3. Oktober informierte das Unternehmen die Öffentlichkeit.

Besonders brisant: Die Hacker versuchten anschließend, Discord mit den gestohlenen Daten zu erpressen. Das Unternehmen weigerte sich, Lösegeld zu zahlen.

Diese Daten sind betroffen

Laut Discords Untersuchungen traf der Angriff vor allem Nutzer, die kürzlich mit dem Kundensupport oder der Sicherheitsabteilung zu tun hatten. Die Datensammlung ist umfangreich: Namen, Discord-Benutzernamen, E-Mail-Adressen und IP-Adressen landeten in falschen Händen.

Bei einigen Nutzern konnten die Angreifer auch begrenzte Zahlungsinformationen einsehen – die letzten vier Ziffern von Kreditkarten, Zahlungsarten und Kaufhistorien. Vollständige Kreditkartennummern, Passwörter oder private Nachrichten blieben nach Discords Angaben verschont.

Das größte Problem: Rund 70.000 Nutzer weltweit hatten Fotos ihrer Führerscheine oder Reisepässe für Alterskontrollen eingereicht. Diese hochsensiblen Dokumente sind nun kompromittiert. Die Hacker behaupten zwar, Millionen weitere Datensätze erbeutet zu haben – Discord dementiert diese Zahlen als Teil der Erpressung.

Sofortmaßnahmen und Schadensbegrenzung

Nach der Entdeckung handelte Discord nach eigenen Angaben schnell: Der Zugang des kompromittierten Dienstleisters zu allen Support-Systemen wurde sofort gesperrt. Eine interne Untersuchung läuft, unterstützt von einer führenden IT-Forensik-Firma.

Discord kooperiert mit Ermittlungsbehörden und informierte Datenschutzbehörden, darunter das britische Information Commissioner’s Office. Betroffene Nutzer erhalten E-Mails von der Adresse noreply@discord.com – das Unternehmen warnt gleichzeitig vor Phishing-Versuchen und betont, niemals telefonisch zu kontaktieren.

Gefahr aus der Lieferkette

Der Vorfall zeigt ein wachsendes Problem der Cybersicherheit: Angreifer visieren zunehmend externe Dienstleister an, um über diese Hintertür an die Daten großer Plattformen zu gelangen. Die Sicherheit ist nur so stark wie das schwächste Glied in der Kette.

Besonders pikant: Der Angriff ereignete sich ausgerechnet zu einem Zeitpunkt, als Plattformen wie Discord ihre Alterskontrollen verschärfen müssen. Neue Gesetze wie das britische Online Safety Act oder der EU Digital Services Act verlangen strengere Überprüfungen – und schaffen damit attraktive Datenschätze für Kriminelle.

Aliya Bhatia von der Denkfabrik Center for Democracy and Technology warnt: Dieser Fall „deckt die Datenschutzrisiken“ von Altersverifikationssystemen schonungslos auf. Was als Schutzmaßnahme gedacht ist, wird zur Schwachstelle.

Was Nutzer jetzt tun sollten

Discords Untersuchungen dauern an. Das Unternehmen überprüft seine Sicherheitskontrollen für alle externen Partner. Die Hacker drohen mit der Veröffentlichung der Daten – bisher blieb es bei Drohungen.

Betroffene Nutzer sollten ihre E-Mails im Auge behalten und die Zwei-Faktor-Authentifizierung aktivieren. Vor verdächtigen Nachrichten, die nach persönlichen Informationen fragen, warnt Discord ausdrücklich.
Anzeige: Apropos Phishing und Kontoschutz: Viele Angriffe treffen Nutzer heute über das Smartphone. Der kostenlose Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone“ zeigt Schritt für Schritt, wie Sie WhatsApp, Online‑Banking & PayPal ohne teure Zusatz-Apps sicherer machen – inklusive praktischer Checklisten. Ideal, wenn Sie Ihre Privatsphäre jetzt gezielt stärken möchten. Jetzt kostenloses Android-Sicherheitspaket sichern

Der Fall zeigt das Dilemma der Tech-Branche: Wie lassen sich neue Regulierungsanforderungen umsetzen, ohne die Privatsphäre der Nutzer zu gefährden? Eine Antwort darauf wird dringend gesucht.