3. lokakuuta 2025 Discord raportoi, että hakkerit olivat murtautuneet yhteen sen ulkopuolisista asiakaspalvelun ja tuen tarjoajista (5CA) ja väitetysti varastaneet ainakin 70 000 kuvaa(uusi ikkuna) virallisista henkilöllisyystodistuksista (kuten passeista tai ajokorteista), joita käytettiin iän vahvistamiseen.

Discordin mukaan muita varastettuja arkaluonteisia tietoja ovat:

  • Nimet, Discord-käyttäjätunnukset, sähköpostiosoitteet ja muut yhteystiedot, jotka käyttäjät antoivat saadakseen tukea.
  • Viestit tai keskustelutallenteet tukiagenttien kanssa (esimerkiksi, mitä käyttäjät viestivät tukitiimien kanssa).
  • Rajoitetut laskutus- ja maksumetatiedot, mukaan lukien maksutapa, ostohistoria ja maksukorttien neljä viimeistä numeroa.
  • Tukivuorovaikutuksiin liittyvät IP-osoitteet.
  • “Rajoitetut yritystiedot” kuten koulutusmateriaalit tai sisäiset esitykset, jotka on tallennettu tukijärjestelmään.

Se sanoo myös, että seuraavan tyyppisiin arkaluonteisiin tietoihin ei päästy käsiksi:

  • Täydet maksukorttinumerot ja turvakoodit (CCV)
  • Viestit tai toiminta Discordissa sen lisäksi, mitä käyttäjät ovat saattaneet keskustella asiakaspalvelun kanssa
  • Salasanat tai tunnistautumistiedot

Murto alkoi ilmeisest(uusi ikkuna)i 20. syyskuuta(uusi ikkuna), kun hyökkääjät mursivat tukiagentin tilin, ja heillä oli pääsy Discordin käyttäjätietoihin noin 58 tunnin ajan. Discord ottaa yhteyttä kaikkiin vaikutuksen alaisiin käyttäjiin sähköpostitse osoitteesta noreply@discord.com.

Motiivi hyökkäyksille näyttää olevan täysin taloudellinen, hakkerien alkuperäisen 5 miljoonan dollarin lunnasvaatimuksen alennuttua myöhemmin 3,5 miljoonaan dollariin. Discordin tiedottaja kertoi The Vergelle(uusi ikkuna), että Discord “ei palkitse niitä, jotka ovat vastuussa laittomista toimistaan.”

On kuitenkin ristiriitaisia raportteja hyökkäyksen laajuudesta ja siitä, kuka on todella syypää. Kyberrikollisryhmä, joka otti kunnian hyökkäyksestä, Scattered LAPSUS$ Hunters, sanoo varastaneensa 1,5 teratavua dataa 5,5 miljoonalta käyttäjältä, mukaan lukien yli 2,1 miljoonaa kuvaa virallisista henkilöllisyystodistuksista. Ja 14. lokakuuta 5CA, ulkopuolinen asiakaspalvelu jota Discord väittää vastuulliseksi murrosta, (uusi ikkuna)kiisti ett(uusi ikkuna)ä se käsitteli virallisia henkilöllisyystodistuksia Discordille tai että sen järjestelmä hakkeroitiin (myöntäen samalla, että tapaus saattoi johtua inhimillisestä virheestä).

Joten miksi Discord keräsi kuvia virallisista henkilöllisyystodistuksista?

Noudattaakseen Ison-Britannian uutta iän vahvistamislakia(uusi ikkuna) (ja Australian tulevaa), Discord on kokeillut iän vahvistamista(uusi ikkuna) käyttäen joko kasvojen skannausta tai skannattua henkilöllisyystodistusta (kuten passia tai ajokorttia).

Tyypillisesti Discord vaati käyttäjän selfietä(uusi ikkuna) ja käytti sitten ohjelmistoa skannaamaan kuvan ja arvioimaan heidän ikänsä. Discord poisti sitten kuvan prosessin lopussa. Järjestelmä, joka väitetysti hakkeroitiin, oli osa sen valitusprosessia.

Jos käyttäjä koki tulleensa väärin perustein estetyksi liian nuorena, hän saattoi lähettää kuvan virallisesta henkilöllisyystodistuksestaan auttaakseen todistamaan ikänsä. Juuri nämä tiedot väitetysti varastettiin. Ja ottaen huomioon Discordin 200 miljoonaa aktiivista käyttäjää, jos edes pieni osa heistä joutui käymään läpi valitusprosessin, se on potentiaalisesti miljoonia henkilöllisyystodistuksia.

Se, että ensisijaisesti pelaajien käyttämä sosiaalisen median alusta tuntee tarvetta kerätä tätä tietoa, osoittaa kuinka kauas iän vahvistamislakien tehtävien liukuma on jo levinnyt, vaikka niiden ilmoitettu tarkoitus on suojella lapsia pornografialta.

Kuinka suojata itsenne

Tämä murto on jälleen yksi muistutus siitä, että meidät pakotetaan usein luovuttamaan arkaluonteisia tietoja, ja meillä on vain vähän näkyvyyttä siihen, miten niitä säilytetään, suojataan tai jaetaan. Vaikka ette voi kutsua takaisin tietoja, jotka ovat jo vuotaneet, voitte yrittää ottaa hallintaanne tiedot, joita jaatte jatkossa. Tässä ohjeet:

  • Tarkastakaa missä arkaluonteiset tietonne ovat: Jos teidän täytyi jakaa arkaluonteisia tietojanne (kuten henkilöllisyystodistus), lukekaa heidän tietosuojakäytäntönsä. Jos ette enää käytä kyseistä tiliä, katsokaa onko vaihtoehtona tietojenne poistaminen.
  • Käyttäkää palveluita, jotka eivät vaadi tunkeilevia tietoja: Tämä on tulossa vaikeammaksi, mutta tietoja, joita ei koskaan kerätä, ei voida vuotaa. Jos tarvitsette palvelua, etsikää sellaisia, jotka ovat läpinäkyviä(uusi ikkuna) siitä, mitä tietoja ne keräävät, mihin tarkoitukseen, ja kuinka kauan niitä säilytetään.
  • Pitäkää tietojen jakaminen minimissä verkossa: Jopa (tai ottaen huomioon monet viimeaikaiset hyökkäykset jotka keskittyvät tukiportaaleihin, erityisesti) tukivuorovaikutusten aikana, älkää jakako mitään tarpeetonta tietoa. Käyttäkää VPN:ää(uusi ikkuna) ja sähköpostialiaksia aina kun mahdollista.

Mitä tämä tarkoittaa iän vahvistamiselle

Tarve suojella lapsia monilta verkkohaitoilta(uusi ikkuna) on todellinen, joten on ymmärrettävää, että hallitukset ympäri maailmaa, EU:sta(uusi ikkuna) Australiaan(uusi ikkuna) ja Kanadaan(uusi ikkuna), ovat innokkaita seuraamaan Ison-Britannian vastikään toimeenpantua iän vahvistamislakia.

Onko tällaiset lait paras ratkaisu ongelmaan on avoin väittelylle(uusi ikkuna), mutta varmaa on se, että tietomurroista on tullut niin jokapäiväistä, että tuskin edes huomaamme uutisotsikoita jälleen yhdestä korkean profiilin yrityksestä, joka vuotaa miljoonien ihmisten henkilökohtaisia tietoja.

Eikä ole koskaan ollut mitään syytä olettaa, että ainutlaatuisen arkaluonteiset iän vahvistamistiedot olisivat immuuneja tällaisille vuodoille, minkä tämä tapaus dramaattisesti todisti.

Tämä tarkoittaa, että vaikka hyväksyisitte iän vahvistamislait periaatteessa, niitä ei tulisi toimeenpanna ennen kuin aidosti turvalliset, hajautetut, avoimen standardin ratkaisut, jotka aidosti kunnioittavat yksityisyyttänne, on kehitetty ja tehty laajasti saataville.