Discord dit qu’ils ne paieront pas les acteurs de la menace qui prétendent avoir volé les données de 5,5 millions d’utilisateurs uniques de l’instance du système Zendesk Support de l’entreprise, y compris les identifiants gouvernementaux et les informations de paiement partielles pour certaines personnes.
La société repousse également les affirmations selon lesquelles 2,1 millions de photos de pièces d’identité gouvernementales ont été divulguées lors de la violation, indiquant qu’environ 70 000 utilisateurs ont vu leurs photos d’identité gouvernementales exposées.
Bien que les attaquants affirment que la violation s’est produite via l’instance Zendesk Support de Discord, la société ne l’a pas confirmé et l’a seulement décrite comme impliquant un service tiers utilisé pour le support client.
« Premièrement, comme indiqué dans notre article de blog, il ne s’agissait pas d’une violation de Discord, mais plutôt d’un service tiers que nous utilisons pour soutenir nos efforts de service client », a déclaré Discord à Breachtrace dans un communiqué.
« Deuxièmement, les numéros partagés sont incorrects et font partie d’une tentative d’extorquer un paiement à Discord. Parmi les comptes touchés à l’échelle mondiale, nous avons identifié environ 70 000 utilisateurs susceptibles d’avoir vu des photos d’identité du gouvernement exposées, que notre fournisseur a utilisées pour examiner les appels liés à l’âge. »
« Troisièmement, nous ne récompenserons pas les responsables de leurs actions illégales. »
Lors d’une conversation avec les pirates, Breachtrace a appris que Discord n’était pas transparent sur la gravité de la violation, déclarant qu’ils avaient volé 1,6 To de données à l’instance Zendesk de l’entreprise.
Selon l’auteur de la menace, ils ont eu accès à l’instance Zendesk de Discord pendant 58 heures à compter du 20 septembre 2025. Cependant, les attaquants affirment que la violation ne provenait pas d’une vulnérabilité ou d’une violation de Zendesk, mais plutôt d’un compte compromis appartenant à un agent d’assistance employé par un fournisseur d’externalisation des processus métier (BPO) externalisé utilisé par Discord.
Comme de nombreuses entreprises ont externalisé leur support et leurs services d’assistance informatique auprès de BPO, elles sont devenues une cible populaire pour les attaquants pour accéder aux environnements clients en aval.
Les pirates allèguent que l’instance Zendesk interne de Discord leur a donné accès à une application d’assistance, connue sous le nom de Zenbar, qui leur a permis d’effectuer diverses tâches liées à l’assistance, telles que la désactivation de l’authentification multifacteur et la recherche des numéros de téléphone et des adresses e-mail des utilisateurs.
En utilisant l’accès à la plate-forme d’assistance de Discord, les attaquants ont affirmé avoir volé 1,6 téraoctets de données, dont environ 1,5 To de pièces jointes de tickets et plus de 100 Go de transcriptions de tickets.
Les pirates disent qu’il s’agissait d’environ 8,4 millions de tickets affectant 5,5 millions d’utilisateurs uniques, et qu’environ 580 000 utilisateurs contenaient une sorte d’informations de paiement.
Les acteurs de la menace eux-mêmes ont reconnu à Breachtrace qu’ils ne savaient pas combien de pièces d’identité gouvernementales avaient été volées, mais ils pensent que c’est plus de 70 000, car ils disent qu’il y avait environ 521 000 tickets de vérification de l’âge.
Les auteurs de la menace ont également partagé un échantillon des données utilisateur volées, qui peuvent inclure une grande variété d’informations, notamment des adresses e-mail, des noms d’utilisateur et identifiants Discord, des numéros de téléphone, des informations de paiement partiel, une date de naissance, des informations liées à l’authentification multifacteur, des niveaux d’activité suspects et d’autres informations internes.
Les informations de paiement de certains utilisateurs auraient été récupérables via les intégrations de Zendesk avec les systèmes internes de Discord. Ces intégrations auraient permis aux attaquants d’effectuer des millions de requêtes API vers la base de données interne de Discord via la plate-forme Zendesk et de récupérer des informations supplémentaires.
Breachtrace n’a pas pu vérifier de manière indépendante les affirmations des pirates ou l’authenticité des échantillons de données fournis.
Le pirate informatique a déclaré que le groupe avait demandé une rançon de 5 millions de dollars, la réduisant plus tard à 3,5 millions de dollars, et s’était engagé dans des négociations privées avec Discord entre le 25 septembre et le 2 octobre.
Après que Discord ait cessé ses communications et publié une déclaration publique sur l’incident, les attaquants ont déclaré qu’ils étaient « extrêmement en colère » et prévoyaient de divulguer publiquement les données si une demande d’extorsion n’était pas payée.
Breachtrace a contacté Discord avec des questions supplémentaires sur ces réclamations, y compris pourquoi ils ont conservé des pièces d’identité gouvernementales après avoir terminé la vérification de l’âge, mais n’ont pas reçu de réponses au-delà de la déclaration ci-dessus.