Discord-Hack schlimmer als gedacht: Millionen Altersverifizierungsfotos gestohlen

Ein massiver Datenleck-Skandal erschüttert Discord. Laut mehreren Quellen wurden über zwei Millionen Altersverifizierungsfotos von Nutzern gestohlen – darunter Ausweise und Selfies. Die Daten stammen offenbar aus dem Kundensystem des Drittanbieters Zendesk.

Was zunächst wie ein begrenzter Sicherheitsvorfall aussah, entpuppt sich nun als potenziell schwerwiegender Angriff auf Discords Nutzerdaten. Neue Berichte deuten darauf hin, dass das Datenleck deutlich größer ist, als das Unternehmen bislang eingeräumt hat. Demnach sollen Hacker über 1,5 Terabyte an sensiblen Bildern erbeutet haben – darunter Selfies und Ausweisdokumente, die zur Altersverifikation dienten.

Millionen von Fotos sollen in Hackerhänden sein

Mehrere verlässliche Quellen, darunter vx-underground, International Cyber Digest und Discord Previews, berichten übereinstimmend, dass der Angreifer Zugriff auf insgesamt 2.185.151 Bilder erhalten habe. Diese stammen angeblich aus Discords Kundensupport-System, das vom Drittanbieter Zendesk betrieben wird.

Die geleakten Daten sollen überwiegend aus Fällen stammen, in denen Nutzer ihre Altersverifikation manuell einreichen mussten – beispielsweise, wenn das System fälschlicherweise angenommen hatte, jemand sei minderjährig. Dabei laden Nutzer häufig Selfies und offizielle Ausweise wie Führerscheine oder Reisepässe hoch, um ihr Alter nachzuweisen.

Laut vx-underground werde Discord derzeit sogar von den Hackern erpresst, die behaupten, Zugriff auf alle diese Dokumente zu besitzen. „Discord wird von denjenigen erpresst, die ihre Zendesk-Instanz kompromittiert haben“, so die Sicherheitsforscher auf X (ehemals Twitter).

1,5 Terabyte sensible Daten und mögliche E-Mail-Leaks

Laut den veröffentlichten Informationen beläuft sich das Datenvolumen auf 1,5 Terabyte. Darin enthalten seien nicht nur Altersverifikationsfotos, sondern vermutlich auch zugehörige E-Mail-Adressen der betroffenen Nutzer. Die Angreifer sollen den Umfang des Leaks selbst öffentlich bestätigt und gleichzeitig über Discords offizielle Reaktion gespottet haben.

Während Discord in einer ersten Stellungnahme von einem „begrenzten Zugriff“ auf Daten sprach, zeigen die neuesten Belege ein anderes Bild. Der mutmaßliche Hacker veröffentlichte in einschlägigen Kanälen Screenshots und Beispielbilder, um den Erfolg seines Angriffs zu beweisen. In einem der Screenshots ist ein verpixeltes Selfie eines Discord-Nutzers zu sehen – offenbar Teil der Altersprüfung.

Discord und Zendesk halten sich bedeckt

Bislang hat Discord keine neue Stellungnahme zu den jüngsten Enthüllungen abgegeben. Auch Zendesk, der betroffene Drittanbieter, äußerte sich bislang nicht zu den Vorwürfen. Unklar ist derzeit, wie lange die Daten gespeichert wurden und in welchem Umfang sie tatsächlich betroffen sind.

Sollten sich die Angaben bestätigen, betrifft der Angriff potenziell über zwei Millionen Discord-Konten weltweit – ein massiver Schlag für die Plattform, die weltweit von über 150 Millionen aktiven Nutzern monatlich verwendet wird.

Datenschutzexperten befürchten, dass die gestohlenen Fotos und Dokumente für Identitätsdiebstahl, Phishing oder Erpressung missbraucht werden könnten. Da viele Nutzer ihre Ausweise samt Adress- und Geburtsdaten hochgeladen haben, wäre der Schaden kaum abzuschätzen.

Wie konnte es so weit kommen?

Die Daten sollen aus einem Support-System stammen, das Discord für die Bearbeitung von Altersverifikationsanfragen nutzt. Dabei greifen Support-Mitarbeiter über Zendesk auf diese Einsendungen zu. Laut bisherigen Erkenntnissen wurde genau diese Zendesk-Instanz kompromittiert, wodurch der Angreifer Zugriff auf alle dort gespeicherten Dateien erhielt.

Dass Discord externe Dienstleister für diese Aufgaben einsetzt, ist branchenüblich. Allerdings zeigt der aktuelle Vorfall, wie anfällig selbst große Unternehmen für indirekte Sicherheitslücken über Dritte sein können. Schon in der Vergangenheit hatten ähnliche Vorfälle – etwa bei Ticketmaster oder Okta – gezeigt, wie gefährlich Schwachstellen in Kundensystemen sein können.

Was Discord-Nutzer jetzt tun sollten

Auch wenn Discord bisher keine offizielle Warnung ausgesprochen hat, sollten betroffene Nutzer vorsichtig sein. Besonders wer in den letzten Monaten ein Altersverifikationsfoto oder Ausweisdokument an den Support gesendet hat, sollte folgende Maßnahmen ergreifen:

• E-Mails von unbekannten Absendern kritisch prüfen, insbesondere mit Bezug zu Discord.
• Keine sensiblen Informationen weitergeben oder Links aus verdächtigen Nachrichten öffnen.
• Zwei-Faktor-Authentifizierung aktivieren, falls noch nicht geschehen.
• Regelmäßig Passwörter ändern und auf ungewöhnliche Kontoaktivitäten achten.

Diese Schritte können zumindest einen Basisschutz bieten, bis offizielle Informationen von Discord oder Zendesk vorliegen.

Ein massives Leck mit ungewissen Folgen

Das angebliche Discord-Datenleck könnte eines der größten Sicherheitsprobleme in der Geschichte der Plattform darstellen. Sollte sich die Echtheit der gestohlenen Daten bestätigen, steht Discord vor einer enormen Vertrauenskrise – hauptsächlich, da der Angriff offenbar durch eine externe Schwachstelle möglich war.

Für Nutzer bedeutet das vor allem eines: Wachsamkeit. Bis Discord und Zendesk mehr Klarheit schaffen, bleibt das Risiko real, dass persönliche Daten in den falschen Händen landen.