2025 yılının Ekim ayında Discord, müşteri hizmetleri süreçlerinde görev yapan üçüncü taraf bir tedarikçi sisteminin yetkisiz kişiler tarafından ihlal edildiğini kamuoyuyla paylaştı. Discord’a doğrudan bir saldırı yapılmamış olsa da, destek hattına başvurmuş kullanıcıların bazı kişisel verileri risk altında. Olay, sosyal medya ve güvenlik çevrelerinde geniş yankı uyandırdı.

İhlalin Ortaya Çıkışı ve Şekli

Şirketin açıklamasına göre, 20 Eylül 2025 tarihinde, üçüncü taraf destek sistemine yetkisiz erişim sağlandı. Saldırganlar amaçlarını “maddi fidye talebi” olarak belirlemişti. Discord, bu eylemin platformun kendisine değil, destek altyapısına yönelik olduğunu özellikle vurguladı.

Sızan veriler arasında, destek talepleriyle Discord’a başvurmuş kullanıcılara ait bazı mesajlar ve ekler de var. Ayrıca, bazı kullanıcıların devlet kimlik belgeleri (ehliyet, pasaport gibi) görüntüleri de ele geçirildi; bu veriler özellikle yaş doğrulaması itirazında bulunan kullanıcılara ait.

Tam kredi kartı numaraları, CCV kodları ve kullanıcı şifrelerinin bu ihlal kapsamında ele geçirilmediği belirtildi.

Sızan Verilerin Kapsamı

Açıklamalara göre, ihlal edilen veriler şunları içeriyor:

• Kullanıcıların gerçek adları ve kullanıcı adları 
• E-posta adresleri 
• Kart numarasının son dört hanesi ve ödemeye ilişkin bazı bilgiler (ancak tam kart bilgisi değil)
• Bazı destek bileti iletileri, ek dosyalar ve iletişim içerikleri 
• Kamu kimlik belgeleri görüntüleri (sınırlı sayıda kullanıcı için) 

Discord açıklamasında, bu ihlal nedeniyle kullanıcıların gizlilik ve kimlik güvenliği açısından risk altında olabileceği, dolandırıcılık ve kimlik hırsızlığı gibi tehditlere açık hale gelebilecekleri belirtildi.

Kullanıcılar İçin Potansiyel Tehlikeler

Bu tür bir veri sızıntısı, kullanıcılar açısından çeşitli riskler doğurabilir:

• Kimlik Hırsızlığı: Kimlik belgesi görüntüleri sızdırılmış olan kullanıcılar, resmi kurumlarda sahtecilik amacıyla kullanılabilir.
• Sosyal Mühendislik & Kimlik Avı Saldırıları: E-posta adresi, ad ve kullanıcı adı gibi bilgiler, saldırganların güven kazanarak kimlik avı saldırıları düzenlemesini kolaylaştırır.
• Kart Bilgisi Suistimali: Tam kart bilgisi olmasa da, kartın son dört hanesi ve ödeme türü bilgisi bazı sahtekârlıklar için kullanışlı olabilir.
• Destek Taleplerinin İçeriği: Kullanıcının destek hattıyla yaptığı yazışmalar ve sunduğu ek dokümanlar, hassas bilgiler içeriyorsa, bundan da zarar görme olasılığı vardır.

Bazı platformlarda kullanıcılar, “şifreler sızdırılmadı, iki faktörlü doğrulama (2FA) aktifse risk daha az” şeklinde değerlendirmelerde bulunuyor. Ancak kimlik belgeleri ve iletişim içeriklerinin sızması bile önemli sonuçlar doğurabileceği uzmanlar tarafından vurgulanıyor.

Discord’un Tepkisi ve Aldığı Önlemler

Discord, ihlal ortaya çıkar çıkmaz şu adımları attığını açıkladı:

1. İlgili üçüncü taraf destek sağlayıcının sistem erişimi derhal iptal edildi. 
2. Olayla ilgili olarak veri koruma otoritelerine bildirim yapıldı. 
3. Kolluk kuvvetleriyle iş birliği başlatıldı. 
4. İç güvenlik denetimleri, üçüncü taraf tedarikçi risk analizleri ve tehdit algılama sistemleri gözden geçirildi ve iyileştirmeler planlandı. 

Discord ayrıca, etkilenen kullanıcılara durum bildirimi yapmaya ve kimlik belgeleri sarsılmış olabilecek kullanıcılara özel bilgilendirme sağlamaya başladı. 

Ancak bazı kullanıcılar, bildirimlerin gecikmeli veya düzensiz yapıldığını; bazılarının hâlâ bilgilendirilmediğini bildiriyor. Bu durum, Discord’un kriz iletişimi ve şeffaflık anlayışı konusunda eleştiriler doğurdu.

Üçüncü Taraf Tedarikçi Riskleri ve Sektörel Dersler

Bu olay, “tedarik zinciri” (supply chain) güvenliği açısından kritik bir uyarı niteliği taşıyor. Discord doğrudan saldırıya uğramamış olsa da, sistemlerine erişimi olan bir destek sağlayıcısının ihlali şirketin kullanıcı verilerini riske attı. 

Teknoloji dünyasında benzer ihlaller geçmişte de gerçekleşmişti. Örneğin Discord, 2023’te başka bir üçüncü taraf destek sisteminin ele geçirilmesiyle bazı kullanıcı verilerinin sızmasıyla yüzleşmişti. Bu olay, şirketlerin kendi altyapılarının yanı sıra bağlı oldukları dış hizmet sağlayıcıları konusunda da güçlü güvenlik önlemleri geliştirmesi gerektiğini gösteriyor.

Güvenlik uzmanları, benzer durumlarda kuruluşların uygulaması gereken bazı temel önlemleri şöyle sıralıyor:

• Üçüncü taraf hizmet sağlayıcılarla yapılan entegrasyonlarda erişim sınırlandırmalarının net tanımlanması
• Düzenli denetimler ve güvenlik testleri
• Anomalilerin erken tespiti için gelişmiş izleme sistemleri
• Kriz anında hızlı iletişim ve şeffaf bilgilendirme süreçlerinin önceden planlanması

Genel Sonuçlar

Discord’un üçüncü taraf destek hizmetinde yaşanan ihlal, şifre ve tam kart bilgilerini kapsamasa da, kimlik belgeleri ve kişisel verilerin sızmasıyla ciddi riskler doğurdu. Olay, şirketlerin yalnızca kendi altyapılarını değil, bağlı oldukları tedarikçileri de güvence altına alması gerektiğini bir kez daha gösteriyor. Kullanıcılar içinse iki faktörlü doğrulama ve dikkatli bilgi paylaşımı, güvenliği artıran en önemli adımlar arasında.

Derleyen: Merve Tuncel