Piratage de Discord: 5,5 millions de comptes compromis? La plateforme dénonce des chiffres exagérés et "une tentative d'extorsion"

5,5 millions de comptes volés? 2,1 millions de pièces d'identités compromises? Des chiffres qui font blêmir... Le 3 octobre dernier, Discord a annoncé avoir été victime d'un piratage d'importance, et les seuls chiffres avancés l'étaient par les pirates eux-mêmes. Discord n'avait jusqu'à présent pas communiqué sur ce point.

Des chiffres différents, une réalité...

Dans un article de blog, publié après une enquête menée après l'incident, Discord a partagé de nouvelles informations le 8 octobre et n'a fourni qu'un seul chiffre, en révélant avoir "identifié environ 70.000 utilisateurs dont les photos d'identité officielles pourraient avoir été exposées" au niveau mondial.

Discord ne revient pas sur les chiffres avancés par ses cyberattaquants, mais précise néanmoins qu'ils "sont incorrects et font partie d'une tentative d'extorsion". En conséquence de quoi la société indique qu'elle ne cèdera pas à leurs menaces et ne paiera pas.

Cependant, à en croire les hackers, qui ont été contactés par nos confrères de BleepingComputer, Discord n'est pas totalement transparent. Les pirates clament ainsi toujours avoir volé 1,6 To de données, ce qui correspondrait aux 5,5 millions de comptes annoncés. Et, toujours selon les pirates, ce sont 2,1 millions de pièces d'identité avec photo qui seraient ainsi dans leurs mains.

Comme l'a indiqué la plateforme, le ou les hackers à l'origine du piratage ont réussi à attaquer le prestataire qui assurait son service client. Contrairement aux pirates, qui pointait du doigt la société Zendesk, Discord ne donne pas le nom de son fournisseur de service, mais affirme que seuls les utilisateurs ayant contacté ses équipes de support client ou de la sécurité et de la confidentialité sont potentiellement concernés.

Quelles informations ont été compromises?

Outre les photos d'identité, d'autres informations ont peut-être été compromises, comme l'avait précisé Discord la semaine dernière. Cela inclut les noms, noms d'utilisateur, adresse mail et "autres coordonnées" s'ils ont été fournis à son service client. De même, des données de facturation, comme les quatre derniers chiffres de la carte bancaire ou le mode de paiement, sont susceptibles d'avoir fuité si elles étaient associées au compte de l'utilisateur.

"Aucun message ni activité n'a été consulté, hors les échanges avec les agents du support client ou de la sécurité et de la confidentialité", a néanmoins assuré Discord.

Les mots de passe n'ont pas été compromis, pas plus que les numéros de carte bancaire complets ou les codes CCD.

Collaborant avec les forces de l'ordre sur cet incident, la plateforme a affirmé qu'elle avait informé l'ensemble des utilisateurs concernés par mail. Elle a également mis fin à sa collaboration avec le fournisseur tiers ciblé par les hackers.