Discord第三方客服平台遭入侵 数百万用户信息泄露

上周，即时通讯软件Discord的第三方客服供应商遭到未经授权人员入侵，影响了曾与Discord客户支持团队、信任与安全团队联系的部分用户。黑客组织Scattered Lapsus$ Hunters一度宣称对此负责，并表示是通过入侵IT服务台系统Zendesk得手。目前，该黑客组织进一步透露，称已窃取大量数据，意图向Discord施压。

根据网络安全新闻网站Bleeping Computer最新报道，黑客声称在这起事件中获取了1.6TB的数据，其中1.5TB为客服工单的附件文件，另有超过100GB为工单的文字记录。这批数据涉及约840万条工单，影响550万名用户，其中58万名用户的支付信息被暴露。对于有多少身份证件照片外泄，这些黑客最初表示不清楚，仅提到有52.1万条工单与年龄验证相关，但随后又称可能多达210万张照片泄露。

对此，Discord在10月8日更新了此前的安全公告，重申公司自身系统并未遭入侵，此次攻击针对的是第三方服务，目的是进行勒索。该公司还透露，目前已确认约有7万名用户的身份证件照片可能存在外泄风险。

黑客声称在9月20日获得了Discord Zendesk平台长达58小时的访问权限，并强调是通过被盗的账户凭证实现入侵，这些账号是提供给Discord业务流程外包供应商（BPO）使用的。他们还表示，并未利用Zendesk系统的漏洞，也没有事先入侵Zendesk本身。

那么数据究竟是如何被获取的？他们向该新闻网站提供了部分窃取的数据以证明其说法，并声称用户的支付信息可通过Zendesk与Discord内部系统之间的关联进行搜索，借助API查询Discord内部数据库，即可从Zendesk获取相关信息。

黑客从9月25日至10月2日向Discord发起勒索，最初索要500万美元，之后降至350万美元。在Discord发布声明并终止谈判后，黑客扬言将公开所窃取的数据。