70.000 statslige ID’er lækket i Discord-databrud

Den 3. oktober 2025 rapporterede Discord, at hackere havde kompromitteret en af dets tredjeparts kundeservice- og supportudbydere (5CA) og angiveligt stjal mindst 70.000 billeder(nyt vindue) af statsligt udstedte ID’er (såsom pas eller kørekort), der blev brugt til aldersbekræftelse.

Ifølge Discord omfatter andre følsomme oplysninger, der blev stjålet:

• Navne, Discord-brugernavne, e-mailadresser og andre kontaktdetaljer, som brugere angav for at modtage support.
• Beskeder eller samtaleudskrifter med supportagenter (f.eks. hvad brugere kommunikerede med supportteams).
• Begrænset fakturerings- og betalingsmetadata, herunder betalingsmetode, købshistorik og de sidste fire cifre på betalingskort.
• IP-adresser forbundet med supportinteraktioner.
• ”Begrænsede virksomhedsdata” såsom træningsmaterialer eller interne præsentationer lagret i supportsystemet.

Det siger også, at følgende typer følsomme oplysninger ikke blev tilgået:

• Fulde betalingskortnumre og sikkerhedskoder (CCV)
• Beskeder eller aktivitet på Discord ud over hvad brugere kan have diskuteret med kundesupport
• Adgangskoder eller godkendelsesdata

Databruddet begyndte tilsyneladend(nyt vindue)e den 20. september(nyt vindue), efter at angriberne kompromitterede en supportagents konto, og de havde adgang til Discord-brugerdata i ca. 58 timer. Discord kontakter alle berørte brugere via e-mail på noreply@discord.com.

Motivet for angrebene ser ud til at være rent økonomisk, hvor hackernes oprindelige krav om løsesum på 5 millioner dollars senere blev reduceret til 3,5 millioner dollars. Discords talsperson fortalte The Verge(nyt vindue), at Discord “ikke vil belønne de ansvarlige for deres ulovlige handlinger.”

Der er dog modstridende rapporter om omfanget af angrebet, og hvem der reelt har skylden. Cyberkriminalitetsgruppen, der tager æren for angrebet, Scattered LAPSUS$ Hunters, siger, at den stjal 1,5 terabyte data fra 5,5 millioner brugere, herunder over 2,1 millioner billeder af statslige ID’er. Og den 14. oktober (nyt vindue)nægtede 5CA, den tredjeparts kundesupport(nyt vindue)tjeneste, som Discord hævder er ansvarlig for databruddet, at den håndterede statsligt udstedte ID’er for Discord, eller at dens system blev hacket (samtidig med at den indrømmede, at hændelsen potentielt skyldtes en menneskelig fejl).

Så hvorfor indsamlede Discord billeder af statslige ID’er?

For at overholde Storbritanniens nye lov om aldersbekræftelse(nyt vindue) (og Australiens kommende) har Discord eksperimenteret med aldersbekræftelse(nyt vindue) ved hjælp af enten et ansigtsscan eller et scannet ID (såsom et pas eller kørekort).

Typisk krævede Discord en brugers selfie(nyt vindue) og brugte derefter software til at scanne billedet og anslå deres alder. Discord ville derefter slette billedet i slutningen af processen. Systemet, der angiveligt blev hacket, var en del af deres appelproces.

Hvis en bruger følte, at de uretmæssigt blev udelukket for at være for unge, kunne de sende et billede af deres statsligt udstedte ID for at hjælpe med at bevise deres alder. Det er disse data, der angiveligt blev stjålet. Og givet Discords 200 millioner aktive brugere, hvis selv en lille brøkdel af dem skulle igennem appelprocessen, er det potentielt millioner af ID’er.

At en social medie-platform, der primært bruges af gamere, føler et behov for at indsamle disse oplysninger, viser, hvor langt formålsskredet for love om aldersbekræftelse, hvis erklærede formål er at beskytte børn mod pornografi, allerede har spredt sig.

Sådan beskytter du dig selv

Dette databrud er endnu en påmindelse om, at vi ofte er tvunget til at overdrage følsomme data med lille indblik i, hvordan de bliver lagret, sikret eller delt. Selvom du ikke kan tilbagekalde data, der allerede er lækket, kan du forsøge at tage kontrol over, hvilke data du deler fremadrettet. Sådan gør du:

• Gennemgå, hvor dine følsomme data er: Hvis du var nødt til at dele dine følsomme data (som et ID), skal du læse deres privatlivspolitik. Hvis du ikke længere bruger den konto, skal du se, om der er en mulighed for at slette dine data.
• Brug tjenester, der ikke kræver invasive data: Dette bliver vanskeligere, men data, der aldrig indsamles, kan ikke lækkes. Hvis du har brug for en tjeneste, skal du kigge efter dem, der er gennemsigtige(nyt vindue) omkring, hvilke data den indsamler, til hvilket formål, og hvor længe de vil blive lagret.
• Hold datadeling på et minimum online: Selv (eller, givet de mange nylige angreb med fokus på supportportaler, især) under supportinteraktioner, bør du ikke dele unødvendige oplysninger. Brug en VPN(nyt vindue) og e-mail-aliasser, når det er muligt.

Hvad dette betyder for aldersbekræftelse

Behovet for at beskytte børn mod de mange online skader(nyt vindue) er reelt, så det er forståeligt, at regeringer over hele verden, fra EU(nyt vindue) til Australien(nyt vindue) til Canada(nyt vindue), er opsatte på at følge Storbritanniens nyligt håndhævede lov om aldersbekræftelse.

Hvorvidt sådanne love er den bedste løsning på problemet er til debat(nyt vindue), men hvad der er sikkert er, at databrud er blevet sådan en daglig begivenhed, at vi næsten ikke engang bemærker nyhedsoverskrifter om endnu en højtprofileret virksomhed, der lækker millioner af menneskers personlige detaljer.

Og der har aldrig været nogen grund til at antage, at de unikt følsomme aldersbekræftelsesdata ville være immune over for sådanne lækager, en pointe der dramatisk er blevet bevist ved denne hændelse.

Dette betyder, at selvom du godkender love om aldersbekræftelse i princippet, bør de ikke implementeres, før der er udviklet og gjort bredt tilgængelige løsninger, der er ægte sikre, decentraliserede, åbne standarder, som reelt respekterer dit privatliv.