70 000 vládních průkazů uniklo při úniku dat z Discordu

3. října 2025 Discord oznámil, že hackeři napadli jednoho z jeho poskytovatelů služeb zákaznické podpory a podpory třetích stran (5CA) a údajně ukradli nejméně 70 000 obrázků(nové okno) vládních průkazů (jako jsou pasy nebo řidičské průkazy) používaných pro ověření věku.

Podle Discordu mezi další citlivé informace, které byly odcizeny, patří:

• Jména, uživatelská jména na Discordu, e-mailové adresy a další kontaktní údaje, které uživatelé poskytli pro získání podpory.
• Zprávy nebo přepisy konverzací s agenty podpory (například to, co uživatelé komunikovali s týmy podpory).
• Omezená metadata fakturace a plateb, včetně platební metody, historie nákupů a posledních čtyř číslic platebních karet.
• IP adresy spojené s interakcemi podpory.
• „Omezená firemní data“, jako jsou školicí materiály nebo interní prezentace uložené v systému podpory.

Uvádí také, že k následujícím typům citlivých informací nebyl získán přístup:

• Celá čísla platebních karet a bezpečnostní kódy (CCV)
• Zprávy nebo aktivita na Discordu nad rámec toho, co uživatelé mohli diskutovat se zákaznickou podporou
• Hesla nebo ověřovací údaje

Únik zřejmě(nové okno) začal 20. září(nové okno) poté, co útočníci napadli účet agenta podpory, a měli přístup k datům uživatele Discordu po dobu zhruba 58 hodin. Discord kontaktuje všechny dotčené uživatele e-mailem na adrese noreply@discord.com.

Motivace útoků se zdá být čistě finanční, přičemž počáteční požadavek hackerů na výkupné ve výši 5 milionů dolarů byl později snížen na 3,5 milionu dolarů. Mluvčí Discordu řekl The Verge(nové okno), že Discord „neodmění ty, kdo jsou zodpovědní za své nezákonné činy“.

Existují však protichůdné zprávy o rozsahu útoku a o tom, kdo je skutečně na vině. Skupina kyberzločinců, která se k útoku přihlásila, Scattered LAPSUS$ Hunters, tvrdí, že ukradla 1,5 terabajtu dat od 5,5 milionu uživatelů, včetně více než 2,1 milionu fotografií vládních průkazů. A 14. října 5CA, služba zákaznické podpory třetí strany, o které Discord tvrdí, že je zodpovědná za únik, (nové okno)popřela, že(nové okno) zpracovávala vládní průkazy pro Discord nebo že byl její systém hacknut (přičemž zároveň připustila, že incident mohl být důsledkem lidské chyby).

Proč tedy Discord shromažďoval fotografie vládních průkazů?

Aby vyhověl novému zákonu Spojeného království o ověřování věku(nové okno) (a nadcházejícímu zákonu v Austrálii), Discord experimentoval s ověřováním věku(nové okno) pomocí skenu obličeje nebo naskenovaného průkazu (jako je pas nebo řidičský průkaz).

Typicky Discord vyžadoval selfie uživatele(nové okno) a poté použil software ke skenování fotografie a odhadu jeho věku. Discord by pak fotografii na konci procesu smazal. Systém, který byl údajně hacknut, byl součástí jeho odvolacího procesu.

Pokud měl uživatel pocit, že byl neprávem zabanován za to, že je příliš mladý, mohl odeslat fotografii svého vládního průkazu, aby pomohl prokázat svůj věk. Právě tato data byla údajně odcizena. A vzhledem k 200 milionům aktivních uživatelů Discordu, pokud i jen malý zlomek z nich musel projít odvolacím procesem, jsou to potenciálně miliony průkazů.

To, že platforma sociálních médií používaná především hráči cítí potřebu shromažďovat tyto informace, ukazuje, jak daleko se již rozšířilo plíživé rozšiřování působnosti zákonů o ověřování věku, jejichž deklarovaným účelem je chránit děti před pornografií.

Jak se chránit

Tento únik je další připomínkou toho, že jsme často nuceni předávat citlivá data s malým přehledem o tom, jak jsou uložena, zabezpečena nebo sdílena. I když nemůžete vzít zpět data, která již unikla, můžete se pokusit převzít kontrolu nad tím, jaká data budete sdílet v budoucnu. Zde je jak:

• Proveďte audit toho, kde jsou vaše citlivá data: Pokud jste museli sdílet svá citlivá data (jako je průkaz), přečtěte si jejich Zásady ochrany osobních údajů. Pokud již tento účet nepoužíváte, zjistěte, zda existuje možnost smazat vaše data.
• Používejte služby, které nevyžadují invazivní data: To je stále obtížnější, ale data, která nejsou nikdy shromážděna, nemohou uniknout. Pokud potřebujete službu, hledejte takové, které jsou transparentní(nové okno) ohledně toho, jaká data shromažďují, za jakým účelem a jak dlouho budou uložena.
• Udržujte sdílení dat online na minimu: Dokonce (nebo vzhledem k mnoha nedávným útokům zaměřeným na portály podpory, zejména) během interakcí s podporou nesdílejte žádné zbytečné informace. Používejte VPN(nové okno) a e-mailové aliasy, kdykoli je to možné.

Co to znamená pro ověřování věku

Potřeba chránit děti před mnoha online hrozbami(nové okno) je skutečná, takže je pochopitelné, že vlády po celém světě, od EU(nové okno) přes Austrálii(nové okno) až po Kanadu(nové okno), chtějí následovat nově prosazovaný zákon Spojeného království o ověřování věku.

Zda jsou takové zákony nejlepším řešením problému, je předmětem diskuse(nové okno), ale jisté je, že úniky informací se staly tak každodenní záležitostí, že si sotva všimneme novinových titulků o další významné společnosti, které unikly osobní údaje milionů lidí.

A nikdy nebyl žádný důvod domnívat se, že jedinečně citlivá data pro ověřování věku by byla vůči takovým únikům imunní, což dramaticky prokázal tento incident.

To znamená, že i když v principu schvalujete zákony o ověřování věku, neměly by být implementovány dříve, než budou vyvinuta a široce zpřístupněna skutečně bezpečná, decentralizovaná řešení s otevřeným standardem, která skutečně respektují vaše soukromí.