La semaine dernière, Discord a fait part d’une fuite de données ayant été engendrée par une faille chez l’un des prestataires attachés à l’app de messagerie. Après avoir fait les vérifications d’usage, l’entreprise donne quelques précisions sur l’ampleur de la fuite, comme rapporté par 9to5Mac.
Ainsi, un prestataire dédié au service client du service de messagerie a subi une attaque, ayant mené à la fuite de plusieurs éléments concernant un nombre non précisé de comptes clients :
- Nom, pseudo Discord, adresse e-mail et autres détails communiqués au service client
- Type de moyen de paiement, incluant les quatre derniers chiffres de la carte de paiement et l’historique d’achat associé au compte Discord
- Adresses IP
- Messages échangés avec le service client
Discord précise bien que les données bancaires ayant fuité étaient parcellaires, et ne contenaient pas les numéros complets des cartes concernées, ni les codes CVV (code à trois chiffres au dos des cartes de paiement). De la même manière, les messages échangés entre utilisateurs Discord ne sont pas concernés par la fuite, ni les mots de passe utilisés pour accéder au service.
Cependant, une autre donnée importante a été récupérée par les assaillants : un nombre non communiqué (la société se contente de préciser « un petit nombre ») de données d’identification de clients, comme la photo d’une carte d’identité, d’un passeport ou d’un permis de conduire, dans le cas où le client a dû faire face à une vérification de son âge avec le service client.
Chat, we are cooked
— vx-underground (@vxunderground) October 8, 2025
Discord is being extorted by the people who compromised their Zendesk instance
They've got 1.5TB of age verification related photos. 2,185,151 photos
tl;dr 2.1m Discord users drivers license and/or passport might be leaked. Unknown number of e-mails
Si l’entreprise minimise la fuite de ces données d’identité, un chercheur en sécurité indique tout de même une fuite de 1,5 To de photos d’identité d’utilisateurs, pouvant laisser penser à une base de données plutôt conséquente.
De nombreux chercheurs en sécurité ont mis en garde les autorités, parties dans de nombreux pays dans une quête de sécurité des mineurs face à des contenus inappropriés : laisser s’échapper sur internet des données d’identification officielles, comme une carte d’identité ou un passeport, c’est courir un très grand risque de les voir être récupérées par des personnes malintentionnées. Espérons que le cas de Discord puisse amener à une réflexion sur l’utilisation et par la même le stockage de ces données sur des serveurs de tiers plus ou moins protégés : si l’intention est louable, le risque reste grand de les voir partir dans la nature.
