Bedrijf dat volgens Discord verantwoordelijk is voor datalek ontkent dat

5CA, de klantenserviceaanbieder die volgens Discord slachtoffer was van een datalek waardoor de ID-bewijzen van tienduizenden gebruikers zijn gestolen, ontkent dat het is gehackt. Het bedrijf verwacht dat het lek het gevolg is van een 'menselijke fout'.

5CA laat in een verklaring weten dat er online wordt gezegd dat het bedrijf de oorzaak is van een datalek 'bij een van onze klanten', maar dat die niet kloppen. "We kunnen bevestigen dat het incident buiten onze systemen plaatsvond en dat 5CA niet is gehackt." De klantenserviceaanbieder stelt op basis van een lopend onderzoek dat het incident waarschijnlijk komt door een 'menselijke fout', maar hoe de vork precies in de steel zit, wordt nog uitgezocht.

Discord claimde eerder deze maand dat er een cyberaanval heeft plaatsgevonden bij 5CA, dat verantwoordelijk is voor de klantenservice van de chatdienst. De gegevens die gebruikers met de klantenservice deelden, werden daarbij gestolen. Dat zou onder meer gelden voor foto's of video's van ID-bewijzen die gebruikers naar de klantenservice stuurden. Volgens Discord hebben circa 70.000 gebruikers dat gedaan. 5CA beweert nu echter dat het 'geen ID-bewijzen voor deze klant heeft verwerkt'. De chatdienst heeft nog niet gereageerd op de verklaring van 5CA.

Door Kevin Krikhaar

Redacteur

Feedback • 15-10-2025 14:03
24 • submitter: Anonymoussaurus

15-10-2025 • 14:03

24

Submitter: Anonymoussaurus

Lees meer

Discord schat dat ID-bewijzen van 70.000 gebruikers mogelijk gestolen zijn
Discord schat dat ID-bewijzen van 70.000 gebruikers mogelijk gestolen zijn Nieuws van 9 oktober 2025
Discord meldt diefstal ID-bewijzen bij handmatige leeftijdsverificatie
Discord meldt diefstal ID-bewijzen bij handmatige leeftijdsverificatie Nieuws van 4 oktober 2025
Discord lijkt gebruikers in Nederland en België te vragen om leeftijdverificatie
Discord lijkt gebruikers in Nederland en België te vragen om leeftijdverificatie Nieuws van 18 september 2025
Beveiliging en antivirus Privacy Datalek Discord Hack

Reacties (24)

-Moderatie-faq
24
24
10
1
0
12
Wijzig sortering

Sorteer op:

Weergave:
Dirk T. 15 oktober 2025 14:13
Wat hier ook een interresante bij is dat de youtuber No Text To Speech contact heeft gehad met iemand die claimt de hacker te zijn geweest.

Hierbij meld de hacker veel meer info te hebben vergaard dan dat momenteel door Discord zelf word gepubliceerd.

Als je tijd overhebt om deze te kijken vooal doen.

YouTube: The Discord Hacker DMed Me…
Reageer
Bouwer21000 @Dirk T.15 oktober 2025 14:18
Dit sluit aan op 5CA die beweert dat ze niet gehackt zijn, want deze hacker geeft aan het via ZenDesk te hebben gedaan (en kon ook inhoud van tickets ingediend door desbetreffende youtuber inzien).

Bijzonder dat Discord het dan heeft geprobeerd af te schuiven op een externe provider?
Reageer
evers97 @Bouwer2100015 oktober 2025 14:31
Damage control denk ik
Reageer
CH4OS
@evers9715 oktober 2025 15:09
Maakt niet uit. Zij hebben de diensten van 5CA ingeschakeld. Dat betekend hoe dan ook dat zij verantwoordelijk blijven voor de data die 5CA verwerkt namens Discord.
Reageer
Skit3000 @CH4OS15 oktober 2025 15:27
Tot in redelijkheid natuurlijk. Als 5CA allerlei processen in plaats heeft om de data in goede banen te leiden maar een boze medewerker heeft de server waar dit op staat uit het rack geschroefd en daarna verkocht, is het een ander verhaal.
Reageer
CH4OS
@Skit300015 oktober 2025 15:36
Voor de GDPR/AVG maakt dat niet uit, Discord is en blijft verantwoordelijk voor de data die door hen ingeschakelde partijen aan data van de klanten namens Discord verwerken. Nalatigheid door de 3rd party zal dan afgewikkeld moeten worden tussen Discord en 5CA. Maar voor de Wet is en blijft Discord verantwoordelijk voor de (klant)data.

Dat vervolgens 5CA uiteindelijk verantwoordelijk wordt gehouden omdat diens medewerker de server uit het rack heeft geschroefd en verkocht, betekend niet dat de verantwoordelijkheid van de data dat op die server staat opeens veranderd, wel heeft Discord dan natuurlijk een stok om mee te slaan richting de betreffende 3rd party.
Reageer
wow7 @Skit300015 oktober 2025 17:49
Het ligt er aan welke contracten er zijn maar in het algemeen heeft hij wel een punt , maar waar ik me eerder druk om zou maken is waar zijn deze data gestolen , bij Discord zelf ? , of bij een andere 3de partij ?.

Wat ik zou doen is als ik getroffen ben van het lek eerst een melding doen bij het AP , met alle daar bijbehorende info , vingertjes wijzen is dan ook niet gepast van beide bedrijven niet. Dan kan het AP uitzoeken wie er voor het lek verantwoordelijk is.

5CA:

Locatie op Hoog Catharijne

Adres: Stationsstraat 154, 3511 EK Utrecht

Discord:

Discord Inc. 444 De Haro Street Suite 200. San Francisco, CA 94107.

United States of America Phone: 888-594-0085.

Email: support@discord.com.
Reageer
faxityy @Bouwer2100015 oktober 2025 15:40
Maar 5CA is wel een gebruiker van Zendesk. Je zit hier dan met zo'n ketting van externe providers waar de data door gaat. Dusja als er dan iets misgaat bij Zendesk kan ik me wel inbeelden dat 5CA in dezelfde positie zit als Discord.
Vorig jaar was er ook een incident (niet gerelateerd aan dit incident) bij zendesk waarbij een aantal bedrijven ze hebben laten vallen. Kan me dan inbeelden dat ze hier weer wat klanten gaan verliezen.
Reageer
TitusV 15 oktober 2025 14:10
Ik hoop toch dat Discord eerst eens grondig onderzoek heeft laten uitvoeren eer ze met de vinger gingen wijzen. Als 5CA er niks mee te maken heeft, dan wilt dat wel wat zeggen over Discord en de manier hoe ze met een dergelijke inbraak omgaan.
Reageer
supersnathan94
@TitusV15 oktober 2025 14:24
dan wilt dat wel wat zeggen over Discord en de manier hoe ze met een dergelijke inbraak omgaan.
Tsja, ik zal niet zeggen dat het me verbaasd om eerlijk te zijn.

We hebben het hier ook echt over iets grenzend aan mailcious compliance. Dit gaat alleen om mensen in de UK die vanwege een domme wet dit moeten doen. Er is al duizend keer voor gewaarschuwd dat dit een slecht idee is omdat bedrijven er minimaal geld aan uit gaan geven en dat daarom dit soort systemen gewoon niet veilig genoeg gaan zijn. En toch is de wetgeving erdoor gekomen.

Discord kan dit echt heel weinig schelen.
Reageer
GreatDictator @supersnathan9415 oktober 2025 14:39
Discord kan dit echt heel weinig schelen.
Discord is als dataverwerker toch gewoon juridisch aansprakelijk als de data niet goed is beveiligd? Dus het zou ze wel degelijk moeten kunnen schelen.
Reageer
supersnathan94
@GreatDictator15 oktober 2025 14:42
Ja, maar niet goed of niet adequaat genoeg is een verschil. Dat laatste is verwijtbaar, dat eerste niet.

Maar wat gaat het nu kosten?

En het gaat om de UK, die hebben soortgelijke regelingen als de GDPR, maar kunnen wel andere interpretatie hebben op bepaalde vlakken.
Reageer
R4gnax
@supersnathan9415 oktober 2025 19:27
En het gaat om de UK
Nee. Het lek was wereldwijd. Alleen hogere concentratie gevallen uit de UK dankzij het gedoe omtrent de Online Safety Act.
Reageer
supersnathan94
@R4gnax15 oktober 2025 19:32
Discord heeft gezegd "golbally", maar dat was in eerste instantie maar een beperkte dataset en de concentratie bleek inderdaad vooral UK te zijn en een paar procent elders.


Echter blijkt nu dat het om veel meer data gaat (2,1 miljoen) dus dna is dat inderdaad een ander verhaal: https://breached.company/discord-breach-update-threat-actor-claims-2-1-million-government-ids-stolen-in-massive-1-5tb-data-haul/


Maar goed voorbeeld in ieder geval waarom dit gewoon altijd een kansloos idee is. Opslaan van dit soort gegevens moet je als bedrijf gewoon niet willen.
Reageer
kozue @TitusV15 oktober 2025 16:03
Het is hoe dan ook Discord's fout, door het vragen om ID's. Discord heeft niks met ID's te maken, en moeten zich vooral geen politierol toe gaan eigenen. ID verificatie is niet nodig voor een chatdienst.
Reageer
supersnathan94
@kozue15 oktober 2025 19:34
ID verificatie is niet nodig voor een chatdienst.
https://www.reddit.com/r/discordapp/comments/1m5ol7t/whats_changing_for_uk_users_due_to_the_uk_online/
TLDR: Due to UK laws (OSA), discord will have to change some things

You will be required to verify your ID via Discord or go through K-IDs age verification in app to do the following
  • Unblur sensitive flagged content
  • Change any of the default Sensitive Content Filter Settings
  • Turn off Message Requests
  • Access NSFW flagged channels
Denk dat je toch een stukje gemist hebt hoor. Zijn ze gewoon wettelijk verplicht.
Reageer
Scribe 15 oktober 2025 14:15
Dat ze beweren dat ze geen IDs verwerken voor Discord is wel heel raar, want deze worden gewoon via Discord's support pagina verstuurd. Dus of slaat dit statement helemaal nergens op, of gebruikt Discord verschillende aanbieders voor hun support pagina en wijzen ze naar de verkeerde...

Beide van deze scenario's zouden extreem genant zijn, dus ben benieuwd 8)7
Reageer
CAPSLOCK2000
15 oktober 2025 14:35
Eerlijk gezegd ben ik niet geïnteresseerd in 5CA. Die partij werkt voor Discord en voor mij als gebruiker is er geen verschil tussen Discord en 5CA. Een korte mededeling over wat er gebeurd is waardeer ik op zich wel, daar kan de wereld van leren, maar nu voelt het meer als het ontwijken van verantwoordelijkheid.

Dit bericht laat zien waarom, want 5CA accepteert de schuld niet en er valt dus ook niet veel van deze zaak te leren. Er wordt nu heen en weer gewezen om een schuldige aan te wijzen en die wijst ook weer door. Iedereen wast z'n handen in onschuld en zegt aan de contractuele verplichtingen te hebben voldaan of zo iets. 5CA zal nu ook wel weer komen met dat de medewerker niet in dienst van 5CA was maar was ingehuurd, of dat de software door een ander bedrijf is geschreven, of dat MS de schuld moeten krijgen want alles draait op Window, en anders is het wel de schuld van IBM voor het uitvinden van de PC. Uiteindelijk zal er wel een arme ziel ergens onderaan de rangorde de schuld van alles krijgen en worden ontslagen.
De woorden "menselijke fout" zijn wat dat betreft een rode vlag. Álle fouten zijn uiteindelijk menselijke fouten. Iedere regel code is direct of indirect door een mens geschreven, de chips zijn door mensen onworpen, de metalen zijn door mensen gewonnen, het plastic is door mensen gemaakt, regels en procedures zijn door mensen opgesteld, etc...

Ja, ik chargeer, maar het voelt voor mij meer als een rookgordijn dan als uitleg of excuses. Laat Discord en 5CA maar voor de rechter uitvechten of aan alle contractuele verplichtingen zijn voldaan en wie hoeveel schuld heeft of welke onderonderonderaannemer er nog meer bij betrokken is.

Voor mij blijft het verhaal dus dat Discord een datalek heeft gehad en ook nog eens van data die ze niet zouden moeten hebben (identificatiebewijzen).
Reageer
Pyronick @CAPSLOCK200015 oktober 2025 15:51
Voor mij blijft het verhaal dus dat Discord een datalek heeft gehad en ook nog eens van data die ze niet zouden moeten hebben (identificatiebewijzen).
Het is zorgwekkend dat de Britse regering (vooralsnog) niet expliciet wordt aangesproken. Hierdoor kan het lijken alsof dit 'fluitend aan hen voorbij gaat' met een houding van 'nothing to see here, move along'. Dit mag niet gebeuren.

Juist nu moet helder worden onderstreept dat dit incident direct voortvloeit uit de (gebrekkige) Britse wetgeving en een gigantisch privacy- en veiligheidsprobleem heeft gecreëerd. Dit dient als een dringende waarschuwing voor andere (nationale) regeringen (in ons geval de Europese Commissie in het bijzonder), zoals bij discussies over Chat Control of vergelijkbare initiatieven voor een (gedeeltelijke) ID-plicht, die dezelfde gevaarlijke inspiratiebronnen of ideeën als het VK overwegen.

Een algemene identificatieplicht is in de meeste gevallen een disproportioneel en onnodig ingrijpend middel, m.i. is de huidige toonplicht met de middelen en technologie van vandaag al sterk verouderd. De focus moet liggen op privacy-vriendelijke alternatieven. Een systeem gebaseerd op het principe van 'attestatie' of 'zero-knowledge proof', waarbij enkel een binaire (ja/nee) bevestiging voor de hoogstnodige zaken (bijv. 'ouder dan 16/18') wordt gegeven, zonder de identiteit te onthullen (zoals yivi/IRMA), is méér dan voldoende en is de enige aanvaardbare weg.
Reageer
michaelkamen @Pyronick15 oktober 2025 16:04
Ter info: deze hack heeft dit jaar plaatsgevonden voordat de UK identificatie-wetgeving inging.
Reageer
Lieftalig 15 oktober 2025 14:40
Is ook opmerkelijk dat Discord hier een rol in speelt.
Reageer
supersnathan94
15 oktober 2025 14:44
Voor mij blijft het verhaal dus dat Discord een datalek heeft gehad
correct
ook nog eens van data die ze niet zouden moeten hebben (identificatiebewijzen).
voor de UK mensen die handmatige verificatie wilden was dit wel degelijk wettelijk noodzakelijk. Ook het bewaren is tot op zekere hoogte wettelijk een vereiste. Dat is wel een probleem.
edit:
@CAPSLOCK2000 was als reactie opjouw post bedoelt

[Reactie gewijzigd door supersnathan94 op 15 oktober 2025 14:52]

Reageer
AtrumVesica @supersnathan9415 oktober 2025 14:48
Waar je mooi kan zien dat zowel discord als the UK gov hun zaakjes niet in orde heeft en dit er echt doorheen geknalt heeft voor iemand echt aan de bel kon trekken.

Op zich wel walgelijk.
Reageer
hachee 15 oktober 2025 15:37
Het heeft onderhand ook jaren geduurd voor hun TOS gepubliceerd werd.
Eenmaal vrijgegeven was ik blij dat niet lang op dat platform gezeten heb, zeker als ik zie waar het naar uitgegroeid is met allerhande lurkende third parties, en nu dit.

Genoeg alternatieven: https://www.freie-messeng...n/system/Messenger_NL.PDF
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq