Discord affirme que des pirates informatiques ont volé 70 000 photos d'identité et rejette les accusations d'extorsion.
La célèbre plateforme vocale et textuelle Discord a confirmé une violation de données affectant un nombre important de ses utilisateurs ayant soumis une pièce d'identité officielle pour vérification d'âge. Discord, qui compte plus de 200 millions d'utilisateurs actifs par mois, a confirmé la violation dans une mise à jour officielle du 3 octobre 2025, rapportée par Hackread.com. Cette mise à jour expliquait que la compromission n'avait pas affecté les principaux systèmes de Discord.
Selon la dernière déclaration de Discord publiée le 8 octobre 2025, environ 70 000 utilisateurs dans le monde auraient vu leurs photos d'identité officielles exposées lors de cette faille. Il est important de noter que cette faille de sécurité ne s'est pas produite directement sur les systèmes principaux de Discord, mais via l'un des prestataires de service client tiers de la plateforme. Ce recours à des prestataires externes pour le support est devenu une vulnérabilité courante pour de nombreuses entreprises.
Une enquête plus approfondie a révélé que les attaquants, qui ont revendiqué la responsabilité, ont accédé à un système de support client, qu'ils ont prétendu être l'instance Zendesk de Discord, pendant environ 58 heures à partir du 20 septembre 2025. Ils auraient obtenu l'accès en compromettant un compte appartenant à un agent de support d'une société commerciale externalisée utilisée par Discord.
Bien que Discord limite les photos d'identité exposées à environ 70 000 utilisateurs, principalement celles faisant appel à des décisions liées à l'âge, les attaquants revendiquent un butin bien plus important. Pour information, VX-underground a rapporté le 8 octobre 2025 que les pirates informatiques prétendaient avoir volé 1,5 To de photos liées à la vérification de l'âge et que les permis de conduire et/ou passeports de 2,1 millions d'utilisateurs de Discord pourraient avoir été divulgués.
Les pirates informatiques affirment avoir volé 1,6 To de données, impactant 5,5 millions d'utilisateurs uniques, en exploitant l'application d'assistance interne de Zendesk (Zenbar) qui leur permettait d'effectuer des actions sensibles comme la désactivation de MFA et la récupération des numéros de téléphone, des e-mails et des données internes des utilisateurs via des requêtes API.
Ils affirment que 521 000 tickets de vérification d'âge étaient impliqués, ce qui suggère que le nombre d'identifiants exposés est bien supérieur aux 70 000 confirmés par Discord (ces affirmations restent non vérifiées).
En réponse, Discord a déclaré publiquement que les attaquants diffusaient des informations inexactes sur la faille de sécurité du fournisseur de service client dans le cadre d'une tentative d'extorsion. Cependant, la déclaration de Discord clarifie la situation et les prochaines étapes.
Premièrement, comme indiqué dans notre article de blog, il ne s'agit pas d'une violation de Discord, mais d'un service tiers que nous utilisons pour soutenir notre service client. Deuxièmement, les chiffres partagés sont erronés et constituent une tentative d'extorsion de fonds auprès de Discord… Troisièmement, nous ne récompenserons pas les responsables de ces actes illégaux.
Discorde
Discord a également confirmé avoir informé tous les utilisateurs concernés dans le monde et collaborer étroitement avec les forces de l'ordre, les autorités de protection des données et des experts en sécurité externes. L'entreprise a déclaré avoir sécurisé les systèmes impactés et mis fin à ses relations avec le fournisseur compromis. Elle a ajouté que la protection des données personnelles des utilisateurs restait une priorité absolue et a reconnu les inquiétudes que cet incident avait pu susciter.
Les données utilisateur exposées, qui incluent les informations fournies lors des demandes d'assistance, peuvent contenir des noms réels, des noms d'utilisateur, des adresses e-mail, des coordonnées, des adresses IP et des informations de paiement partielles, telles que les quatre derniers chiffres d'une carte de crédit. Discord a toutefois confirmé qu'aucun numéro de carte de crédit complet, mot de passe ou donnée d'authentification n'a été consulté.
Néanmoins, tous les utilisateurs concernés doivent immédiatement activer l'authentification multifacteur (MFA) sur leur compte Discord et les comptes de messagerie associés, et rester vigilants face aux tentatives d'hameçonnage. N'oubliez pas que les communications officielles de Discord proviennent uniquement de [email protected] . Si votre pièce d'identité officielle a été compromise, surveillez les rapports de crédit et financiers pour détecter toute usurpation d'identité.
HackRead
