A Discord recusa-se a pagar qualquer resgate a hackers que afirmam ter roubado dados de 5,5 milhões de utilizadores do seu sistema de suporte. A empresa contesta os números, afirmando que a violação de dados foi significativamente menor e que não irá recompensar os responsáveis pelas suas "ações ilegais".
Num comunicado enviado ao BleepingComputer, a Discord esclarece que o incidente não afetou os seus sistemas centrais, mas sim um serviço de terceiros utilizado para o apoio ao cliente. A empresa acusa os atacantes de inflacionar os números numa tentativa de extorsão.
A origem do ataque: uma falha num parceiro externo
Segundo os atacantes, o ciberataque não se deveu a uma vulnerabilidade na Zendesk, a plataforma de suporte, mas sim ao comprometimento da conta de um agente de suporte de um fornecedor externo (BPO - Business Process Outsourcing). Esta tática tem-se tornado popular, uma vez que muitas empresas subcontratam os seus serviços de apoio técnico, tornando estes parceiros um alvo atrativo para obter acesso a sistemas internos.
Os hackers alegam que, a partir de 20 de setembro de 2025, tiveram acesso à instância da Zendesk do Discord durante 58 horas. Durante esse período, conseguiram aceder a ferramentas de suporte que lhes permitiam, entre outras coisas, desativar a autenticação multifator e consultar números de telemóvel e endereços de e-mail dos utilizadores.
A dimensão da discórdia: os números do ataque
A principal divergência entre as duas partes reside na escala da violação. Os atacantes afirmam ter roubado 1,6 terabytes de dados, o que corresponde a 8,4 milhões de tickets de suporte de 5,5 milhões de utilizadores únicos. Desse total, cerca de 580.000 utilizadores teriam alguma forma de informação de pagamento exposta.
Por outro lado, a Discord minimiza o impacto, declarando que "apenas" cerca de 70.000 utilizadores viram as suas fotografias de documentos de identificação expostas, utilizadas para verificar a idade em recursos. No entanto, os hackers contrapõem, afirmando que existiam aproximadamente 521.000 tickets de verificação de idade, sugerindo que o número de IDs comprometidos é muito superior.
Os dados roubados podem incluir uma vasta gama de informações pessoais, como endereços de e-mail, nomes de utilizador e IDs do Discord, números de telemóvel, informações parciais de pagamento, data de nascimento e dados relacionados com a autenticação multifator.
A extorsão e a ameaça de divulgação
O grupo de hackers exigiu inicialmente um resgate de 5 milhões de dólares, valor que mais tarde foi reduzido para 3,5 milhões. As negociações privadas com a Discord terão decorrido entre 25 de setembro e 2 de outubro. Após a empresa ter cessado a comunicação e emitido uma declaração pública sobre o incidente, os atacantes mostraram-se "extremamente zangados".
A Discord mantém uma postura firme, recusando-se a pagar o ransomware e a ceder à extorsão. Perante a recusa, os hackers ameaçam agora divulgar publicamente todos os dados roubados caso as suas exigências não sejam cumpridas.
Nenhum comentário
Seja o primeiro!