أعلنت ديسكورد، المنصة الشهيرة للألعاب والمجتمعات عبر الإنترنت عن تسريب بيانات مستخدمين، لكن الأمر سرعان ما تصاعد إلى اتهامات بتعريض ملايين الصور الشخصية.
أكدت ديسكورد أن حوالي 70 ألف مستخدم قد تعرضت صور بطاقات هوياتهم الحكومية للخطر، فيما نفت الشركة ادعاءات المهاجمين بأنهم حصلوا على أكثر من مليوني صورة.
هذا الحادث، الذي نشأ من اختراق مزود خدمة خارجي، يثير تساؤلات حول أمان المنصات الاجتماعية وكيفية التعامل مع بيانات التحقق من العمر.
التسلسل الزمني: كيف بدأ الإختراق وانتشر الذعر؟
بدأت القصة في 20 سبتمبر 2025، عندما نجح مهاجمون غير معروفين في الوصول غير المصرح به إلى أنظمة مزود الخدمة الخارجي لديسكورد، وهو Zendesk، الذي يدير نظام التذاكر لدعم العملاء.
استمر الوصول لمدة 58 ساعة، وفقاً لادعاءات المهاجمين، قبل أن تكتشف ديسكورد الحادث في 3 أكتوبر.
في البداية، وصفت الشركة الأمر بأنه يتعلق بعدد “صغير” من الهويات الحكومية، لكن الادعاءات سرعان ما تصاعدت على وسائل التواصل.
في تغريدة نشرها حساب vx-underground، ادعى المهاجمون أنهم سرقوا 2,185,151 صورة للتحقق من العمر، بالإضافة إلى 1.5 تيرابايت من البيانات، وطالبوا بدفع فدية لعدم نشرها.
هذه الصور كانت جزءاً من عملية التحقق من العمر التي تطلبها ديسكورد للمستخدمين الذين يتقدمون بطعون حول محتوى غير مناسب أو قيود عمرية، حيث يُطلب منهم تقديم صور بطاقات هويتهم الحكومية لإثبات أنهم فوق 18 عاماً.
انتشر الذعر بسرعة بين مستخدمي المنصة، خاصة في مجتمعات الألعاب والـReddit، حيث يخشى الآلاف من تعريض بياناتهم الشخصية للاستخدام في الاحتيال أو الابتزاز.
رد ديسكورد الرسمي: “الأرقام غير دقيقة” ورفض الدفع
في بيان رسمي نشرته الشركة في 8 أكتوبر، أوضحت ديسكورد أن الاختراق لم يمس أنظمتها الداخلية مباشرة، بل كان محصوراً في مزود الخدمة الخارجي.
أكدت أن حوالي 70,000 مستخدم عالمياً قد تم تعريض صور بطاقات هويتهم الحكومية، وهو رقم أقل بكثير من الادعاءات، كما أن البيانات المتأثرة تشمل:
البيانات الشخصية الأساسية: الاسم الكامل، اسم المستخدم في ديسكورد، البريد الإلكتروني، وأي تفاصيل اتصال أخرى قدمها المستخدمون لفريق الدعم.
معلومات الفوترة المحدودة: نوع الدفع، آخر أربعة أرقام من بطاقة الائتمان، وتاريخ الشراءات إذا كانت مرتبطة بالحساب.
بيانات فنية: عناوين IP، ورسائل المحادثات مع وكلاء الدعم.
بيانات شركية محدودة: مواد تدريبية وتقديمات داخلية.
لكن الشركة شددت على أن بعض البيانات الحساسة لم تتأثر، مثل الأرقام الكاملة لبطاقات الائتمان، رموز التحقق (CVV)، كلمات المرور، أو نشاط المستخدمين على المنصة خارج الدعم الفني.
أما بالنسبة للادعاءات الكبيرة، فقد نفاها المتحدث باسم الشركة، نو ويكسلر، في تصريح لموقع The Verge: “الأرقام المشتركة غير صحيحة وجزء من محاولة ابتزاز مالي من ديسكورد”.
أضاف: “لن نكافئ المسؤولين عن أفعالهم غير القانونية”، وفي بيانها الرسمي، أكدت ديسكورد أنها ألغت الوصول للمزود فوراً، وأنهت العمل معه نهائياً، وأطلقت تحقيقاً داخلياً بدعم من شركة forensics الرائدة.
كما أنها أخطرت السلطات المختصة بحماية البيانات، وتعمل مع الشرطة، وأبلغت المستخدمين المتأثرين عبر بريد إلكتروني من [email protected].
تداعيات اختراق ديسكورد
رغم التقليل من الأرقام، يبقى الاختراق خطيراً، خاصة مع تعريض صور الهويات الحكومية، التي تحتوي على معلومات حساسة مثل التواريخ الشخصية والعناوين.
هذه البيانات يمكن استخدامها في هجمات الـphishing، سرقة الهوية، أو حتى الابتزاز الشخصي، خاصة للمستخدمين الشباب الذين يعتمدون على ديسكورد للتواصل في الألعاب مثل Fortnite أو League of Legends.
في الولايات المتحدة وحدها، يُقدر أن 15% من المستخدمين قدموا بيانات تحقق عمر، مما يجعل 70 ألف حالة هذه مجرد قمة الجبل الجليدي إذا ثبتت الادعاءات الأكبر.
من الناحية الاقتصادية، قد يواجه ديسكورد غرامات بملايين الدولارات بموجب قوانين مثل GDPR في أوروبا أو CCPA في كاليفورنيا، خاصة إذا ثبت إهمال في أمان المزودين الخارجيين.
هذا الحادث يأتي بعد سنوات من مخاوف بشأن خصوصية المنصات، حيث سجلت ديسكورد حوادث سابقة في 2019 و2023، لكنه الأكبر حتى الآن.
كما أنه يسلط الضوء على مخاطر الاعتماد على خدمات خارجية مثل Zendesk، التي تعرضت لاختراقات سابقة في شركات أخرى مثل Uber وSlack.
