Hacker Klaim Retas Discord, Curi Data 5,5 Juta Pengguna dari Sistem Zendesk

8 Oktober 2025 — Sekelompok peretas mengklaim telah mencuri data dari 5,5 juta pengguna Discord melalui insiden kebocoran yang diduga berasal dari instance Zendesk — sistem pihak ketiga yang digunakan Discord untuk layanan dukungan pelanggan. Namun, Discord membantah klaim tersebut, menegaskan bahwa jumlah data yang bocor tidak sebesar yang dikatakan para peretas, dan perusahaan tidak akan membayar uang tebusan.
💥 Kronologi dan Klaim Peretas
Menurut laporan dari BleepingComputer, kelompok peretas mengatakan mereka memperoleh akses ke sistem Zendesk milik Discord selama 58 jam, dimulai pada 20 September 2025.
Mereka mengaku memperoleh akses bukan karena celah keamanan di Zendesk, melainkan melalui akun karyawan pihak ketiga (BPO) yang bekerja sebagai agen dukungan Discord.
Dengan akses ini, peretas dapat menggunakan aplikasi internal bernama Zenbar, yang memungkinkan mereka melakukan berbagai tindakan administratif seperti:
- Menonaktifkan autentikasi dua faktor (MFA)
- Melihat nomor telepon dan email pengguna
- Mengakses tiket dukungan dan lampirannya
Kelompok ini mengklaim berhasil menyalin 1,6 TB data, yang terdiri dari:
- 1,5 TB lampiran tiket dukungan
- 100 GB transkrip percakapan tiket
- Total sekitar 8,4 juta tiket, mencakup 5,5 juta pengguna unik
- Sekitar 580.000 pengguna di antaranya memiliki informasi pembayaran parsial
📸 Data yang Diduga Bocor
Sebagai bukti, para peretas membagikan contoh data yang berisi:
- Alamat email, username, dan ID Discord
- Nomor telepon
- Informasi MFA dan aktivitas akun mencurigakan
- Tanggal lahir dan sebagian data pembayaran
Peretas juga mengeklaim ada sekitar 521.000 tiket verifikasi usia, sehingga jumlah foto KTP yang terekspos kemungkinan lebih besar dari 70.000, meskipun mereka sendiri tidak yakin jumlah pastinya.
🧩 Tanggapan Resmi dari Discord
Discord menegaskan bahwa insiden ini bukan pelanggaran terhadap sistem utama Discord, melainkan terjadi pada layanan pihak ketiga (Zendesk) yang digunakan untuk dukungan pelanggan.
Dalam pernyataan resmi kepada BleepingComputer, perusahaan menyebut:
“Angka yang beredar tidak akurat dan merupakan upaya pemerasan. Sekitar 70.000 pengguna mungkin memiliki foto ID yang terekspos, digunakan vendor kami untuk proses verifikasi usia.”
“Kami tidak akan memberikan imbalan kepada pihak yang bertanggung jawab atas tindakan ilegal ini.”
Discord juga menolak klaim bahwa 5,5 juta pengguna terdampak, menyebut jumlah tersebut digelembungkan untuk menekan negosiasi tebusan.
💰 Upaya Pemerasan dan Ancaman Publikasi
Peretas mengatakan mereka menuntut tebusan sebesar 5 juta dolar AS, lalu menurunkannya menjadi 3,5 juta dolar, dan bahkan sempat bernegosiasi langsung dengan pihak Discord antara 25 September hingga 2 Oktober 2025.
Namun setelah Discord menghentikan komunikasi dan merilis pernyataan publik, para pelaku mengancam akan membocorkan seluruh data secara publik.
🔐 Konteks dan Risiko
Kasus ini menyoroti risiko besar dari outsourcing layanan dukungan pelanggan ke pihak ketiga, yang kini menjadi target utama serangan rantai pasok (supply chain attacks).
Banyak perusahaan besar — termasuk di sektor IT, fintech, dan media sosial — mengandalkan BPO eksternal untuk menangani tiket pengguna, yang kerap menjadi titik lemah dalam sistem keamanan data.
🧠 Langkah Keamanan yang Direkomendasikan
- Ganti password dan aktifkan ulang MFA jika pernah mengajukan tiket dukungan Discord.
- Waspadai phishing atau email mencurigakan yang mengatasnamakan Discord Support.
- Pantau laporan aktivitas login dan revoke token API atau integrasi yang tidak dikenal.
Sumber: BleepingComputer, Discord