Der große Discord-Hack klingt richtig übel

In den letzten Tagen wird immer klarer, dass der jüngste Discord-Hack weit schlimmer ist, als das Unternehmen zunächst einräumen wollte. Laut einem Bericht von 404 Media sind insgesamt 1,5 Terabyte Nutzerdaten betroffen – und die Angreifer sollen die Plattform sogar erpressen.

Am vergangenen Freitag verschickte Discord E-Mails an betroffene Nutzer – mit dem Hinweis auf einen „Sicherheitsvorfall am 20. September“, der persönliche Daten betreffen könnte. Zwar seien keine vollständigen Kreditkarteninformationen oder Adressen kompromittiert worden, doch schon die Formulierung „bleiben Sie wachsam“ ließ viele stutzig werden. Jetzt ist klar: Das Ausmaß ist deutlich größer.

Wie Discord gegenüber The Verge bestätigte, könnten bis zu 70.000 Nutzer von dem Datenleck betroffen sein. Besonders brisant: Auch Ausweisdokumente wie Führerscheine oder Reisepässe wurden kompromittiert – insbesondere von Personen, die ihr Alter auf der Plattform verifizieren mussten.

1,5 TB Nutzerdaten in den Händen von Hackern

Laut 404 Media prahlen die Hacker in einem Telegram-Chat mit den erbeuteten Daten und drohen, sie schrittweise zu veröffentlichen, wenn Discord nicht reagiert. Die Daten enthalten angeblich Telefonnummern, Aktivitätsprotokolle und sogar Selfie-Identifikationen von Nutzern. Ein geleaktes Ticket soll sogar mit dem mutmaßlichen „Charlie Kirk Shooter“ Tyler Robinson in Verbindung stehen.

Ein Sprecher des für den Support zuständigen Drittanbieters Zendesk erklärte, das eigene System sei nicht kompromittiert worden. Offenbar gelang der Zugriff über einen externen Support-Mitarbeiter. Discord habe die Zusammenarbeit mit diesem Dienstleister inzwischen beendet.

„Alle betroffenen Nutzer weltweit wurden informiert“, sagte Discord-Sprecher Nu Wexler. „Wir arbeiten eng mit Strafverfolgungsbehörden, Datenschutzstellen und externen Sicherheitsexperten zusammen. Wir verstehen die Sorge, die das auslöst.“

Kritik an Altersverifikationen

Ein Grund für die Speicherung so sensibler Daten liegt in neuen Gesetzen wie dem britischen Online Safety Act, der Plattformen verpflichtet, das Alter ihrer Nutzer mit Selfies und Ausweisen zu überprüfen. Datenschützer warnen, dass solche Vorgaben „den perfekten Angriffspunkt für Hacker schaffen“.

„Diese Art von Online-ID-Checks sieht nach gesundem Menschenverstand aus, ist aber in Wahrheit brandgefährlich“, sagte Sarah Philips, Aktivistin der Anti-Überwachungsorganisation Privacy Now. „Regierungen zwingen Unternehmen damit zu Überwachung und Zensur – und gefährden uns alle.“

Noch ist unklar, ob die Erpresser tatsächlich Geld fordern oder die Veröffentlichung der Daten als Druckmittel nutzen. Klar ist nur: Für Discord ist das der schwerste Sicherheitsvorfall seiner Geschichte.