Pelanggaran Data Discord Berdampak pada Sedikitnya 70.000 Pengguna
Discord mengonfirmasi pelanggaran data pada vendor pihak ketiga yang mengekspos foto identitas 70.000 pengguna, nama, dan email. Peretas mencoba memeras platform.
Jakarta, JClarity – Platform komunikasi populer, Discord, baru-baru ini mengonfirmasi insiden keamanan yang mengakibatkan terpaparnya data pribadi sensitif, termasuk foto identitas resmi pemerintah, dari setidaknya 70.000 penggunanya di seluruh dunia. Pelanggaran ini terjadi bukan pada sistem inti Discord, melainkan melalui peretasan pada salah satu vendor layanan pelanggan pihak ketiga yang mereka gunakan.
Insiden ini mulai diungkap oleh Discord pada 3 Oktober 2025, dengan pembaruan detail pada Rabu (8/10) yang mengonfirmasi bahwa data sekitar 70.000 pengguna yang mengajukan banding terkait usia (age-related appeals) kemungkinan besar telah bocor. Data-data ini adalah foto kartu identitas pemerintah yang dikirimkan pengguna kepada vendor layanan pihak ketiga—diidentifikasi sebagai 5CA—untuk keperluan verifikasi usia.
Discord menjelaskan bahwa pengguna yang terdampak adalah mereka yang pernah berinteraksi dengan tim Dukungan Pelanggan (Customer Support) atau Kepercayaan & Keamanan (Trust & Safety) mereka. Data lain yang juga diduga ikut terekspos meliputi nama pengguna Discord, alamat email, alamat IP, informasi kontak lainnya, pesan yang dipertukarkan dengan tim dukungan, dan bahkan empat digit terakhir dari informasi tagihan kartu kredit (namun bukan nomor kartu kredit lengkap atau kode CCV).
Pihak peretas yang tidak teridentifikasi dilaporkan melakukan peretasan ini sebagai bagian dari upaya pemerasan finansial terhadap Discord. Menurut kelompok riset keamanan siber Vx-Underground, para pelaku mengklaim telah mencuri data sebesar 1,5 terabita, atau sekitar 2,1 juta foto identitas, sebuah klaim yang jauh melampaui angka 70.000 yang diakui oleh Discord. Menanggapi hal tersebut, Discord membantah klaim jumlah data yang lebih besar, menegaskan bahwa klaim tersebut 'tidak benar' dan merupakan 'bagian dari upaya untuk memeras pembayaran' dari perusahaan.
Sebagai respons cepat, Discord menyatakan telah segera mencabut akses vendor pihak ketiga tersebut dari sistem tiket mereka. Perusahaan juga telah meluncurkan investigasi internal, melibatkan perusahaan forensik komputer terkemuka, dan bekerja sama dengan otoritas penegak hukum serta otoritas perlindungan data di berbagai wilayah. Discord kini sedang menghubungi pengguna yang terkena dampak melalui email resmi dari noreply@discord.com, dan menyarankan pengguna untuk selalu waspada terhadap upaya phishing.
Insiden ini kembali menyoroti risiko besar yang terkait dengan pengumpulan dan penyimpanan data sensitif pengguna oleh vendor pihak ketiga, terutama dalam konteks regulasi verifikasi usia yang semakin ketat di berbagai negara. Discord berjanji akan meningkatkan audit keamanan terhadap semua mitra pihak ketiga di masa mendatang.