在全球擁有超過2億活躍用戶的熱門通訊平台Discord,近日傳出嚴重資安事件,約7萬名用戶的政府核發身分證明文件 (如:護照、駕照) 影像遭竊,部分民眾的姓名、電子郵件、IP 位址與交易紀錄等敏感資料,還可能遭駭客存取,官方也證實了!

示意圖,翻攝自pixabay
根據《Cyber Security News》報導,事件發生於2025年9月,駭客疑似入侵Discord所採用的第三方客服系統Zendesk。對此,Discord表示,駭客透過攻擊一名外包員工帳號,成功滲透客服後台,盜取部分內部用戶資料,包括:姓名、電子郵件、使用者名稱、IP位址及客訴對話紀錄等內容,最嚴重的部分,為駭客取得用戶的年齡驗證或帳號申訴上傳的身分證件影像,涉及護照與駕照等政府證件。

示意圖,翻攝自pexels
事後,Discord強調,事件僅涉及「有限的財務資訊」,如:信用卡末四碼與付款紀錄,用戶密碼與完整付款資料未外洩。
有一個自稱為 「Scattered Lapsus$ Hunters (SLH) 」 的駭客組織聲稱「對此事件負責」,並誇大地說「竊得超過218萬張身分證影像、影響550萬名用戶」,甚至試圖以此勒索Discord支付贖金。不過,官方駁斥,並指出該數據不實,駭客只是試圖藉誇張說法操控輿論。

示意圖,翻攝自pexels
在駭客開設的Telegram頻道中,已有疑似Discord用戶的個資資料流出,包括:手持證件照、姓名、電子郵件及地址資訊等,但外媒尚未能獨立驗證這些資料的真實性。
隱私權倡議團體 Electronic Frontier Foundation (電子前線基金會) 痛批,此案凸顯線上平台年齡驗證制度的高風險性;此外,副主任瑪迪 (Maddie Daly) 也指出「一旦使用者提交身分證資料,就無法掌握其後續的儲存與使用方式;一旦系統遭駭,風險將難以承受。」

示意圖,翻攝自pexels
目前,Discord已主動通知所有受影響用戶,並通報執法單位,同時撤銷第三方廠商的系統存取權限,並與數位鑑識公司合作展開全面調查,以強化未來資安防護。
至於台灣用戶是否受波及?Discord 尚未公布區域性統計。然而,官方提醒,曾進行身份驗證或客服申訴的使用者,應密切注意個資動態,防範潛在風險。

示意圖,翻攝自pexels
事實上,今年稍早,女性匿名社群 App「Tea」曾爆出個資外洩事件,約7.2萬張用戶上傳的性別驗證照片遭盜,顯示相關平台在個資保護上普遍存在漏洞。