Discord a confirmé une nouvelle compromission impliquant l’un de ses sous-traitants en assistance client : un intrus a accédé, le 20 septembre 2025, à des informations concernant un nombre « limité » d’utilisateurs ayant échangé avec le Support ou le Trust & Safety. La plateforme précise que ses propres systèmes n’ont pas été pénétrés et qu’il s’agit d’un incident circonscrit au prestataire ; l’attaquant aurait tenté une extorsion. Les notifications sont en cours d’envoi aux personnes touchées, avec détail du périmètre pour chacune.
Les éléments consultés incluent noms, pseudos, adresses e-mail et, dans certains cas, les quatre derniers chiffres de carte bancaire. Plus sensible, un « petit nombre » de justificatifs d’identité transmis pour des vérifications d’âge (CNI, passeports, permis) auraient été copiés. Discord indique qu’aucun mot de passe ni numéro complet de carte n’a été exfiltré ; les messages privés ne sont pas concernés, hors contenus partagés dans les tickets de support. Plusieurs médias techniques ont corroboré le calendrier et les catégories de données évoquées.
Concrètement, les utilisateurs ayant contacté l’assistance sont invités à surveiller d’éventuels e-mails de phishing, changer les mots de passe réutilisés ailleurs, révoquer les cartes associées si un doute existe et, pour ceux ayant transmis une pièce d’identité, demander une alerte ou un gel préventif selon la juridiction. Discord dit avoir coupé l’accès du prestataire, saisi les autorités et renforcé ses contrôles tiers. Cet épisode réactive le débat sur la vérification d’âge et la minimisation des données, déjà pointé par la presse spécialisée. Des enquêtes et mises à jour officielles restent à suivre pour préciser l’ampleur réelle.