在全球拥有超过2亿活跃用户的热门通讯平台Discord,近日传出严重资安事件,约7万名用户的政府核发身分证明文件 (如:护照、驾照) 影像遭窃,部分民众的姓名、电子邮件、IP 位址与交易纪录等敏感资料,还可能遭骇客存取,官方也证实了!
示意图,翻摄自pixabay
根据《Cyber Security News》报导,事件发生于2025年9月,骇客疑似入侵Discord所采用的第三方客服系统Zendesk。对此,Discord表示,骇客透过攻击一名外包员工帐号,成功渗透客服后台,盗取部分内部用户资料,包括:姓名、电子邮件、使用者名称、IP位址及客诉对话纪录等内容,最严重的部分,为骇客取得用户的年龄验证或帐号申诉上传的身分证件影像,涉及护照与驾照等政府证件。
示意图,翻摄自pexels
事后,Discord强调,事件仅涉及「有限的财务资讯」,如:信用卡末四码与付款纪录,用户密码与完整付款资料未外泄。
有一个自称为 「Scattered Lapsus$ Hunters (SLH) 」 的骇客组织声称「对此事件负责」,并夸大地说「窃得超过218万张身分证影像、影响550万名用户」,甚至试图以此勒索Discord支付赎金。不过,官方驳斥,并指出该数据不实,骇客只是试图藉夸张说法操控舆论。
示意图,翻摄自pexels
在骇客开设的Telegram频道中,已有疑似Discord用户的个资资料流出,包括:手持证件照、姓名、电子邮件及地址资讯等,但外媒尚未能独立验证这些资料的真实性。
隐私权倡议团体 Electronic Frontier Foundation (电子前线基金会) 痛批,此案凸显线上平台年龄验证制度的高风险性;此外,副主任玛迪 (Maddie Daly) 也指出「一旦使用者提交身分证资料,就无法掌握其后续的储存与使用方式;一旦系统遭骇,风险将难以承受。」
示意图,翻摄自pexels
目前,Discord已主动通知所有受影响用户,并通报执法单位,同时撤销第三方厂商的系统存取权限,并与数位鉴识公司合作展开全面调查,以强化未来资安防护。
至于台湾用户是否受波及?Discord 尚未公布区域性统计。然而,官方提醒,曾进行身份验证或客服申诉的使用者,应密切注意个资动态,防范潜在风险。
示意图,翻摄自pexels
事实上,今年稍早,女性匿名社群 App「Tea」曾爆出个资外泄事件,约7.2万张用户上传的性别验证照片遭盗,显示相关平台在个资保护上普遍存在漏洞。
留言按此
(往下還有更多精彩文章!)