70 000 offentlige ID-er lekket i databrudd hos Discord

Den 3. oktober 2025 rapporterte Discord at hackere hadde kompromittert en av deres tredjeparts kundeservice- og støtteleverandører (5CA), og angivelig stjålet minst 70 000 bilder(nytt vindu) av offentlig utstedte ID-er (slik som pass eller førerkort) brukt til aldersverifisering.

Ifølge Discord inkluderer annen sensitiv informasjon som ble stjålet:

• Navn, Discord-brukernavn, e-postadresser, og andre kontaktdetaljer som brukere oppga for å motta støtte.
• Meldinger eller transkripsjoner av samtaler med støtte-agenter (for eksempel hva brukere kommuniserte med støtte-team).
• Begrensede fakturerings- og betalingsmetadata, inkludert betalingsmåte, kjøpshistorikk og de fire siste sifrene på kredittkort.
• IP-adresser knyttet til støtte-interaksjoner.
• «Begrensede bedriftsdata» som opplæringsmateriell eller interne presentasjoner lagret i støtte-systemet.

De sier også at følgende typer sensitiv informasjon ikke ble gitt tilgang til:

• Komplette kredittkortnumre og sikkerhetskoder (CCV)
• Meldinger eller aktivitet på Discord utover det brukere kanskje har diskutert med kundestøtte
• Passord eller data for autentisering

Dette bruddet begynte(nytt vindu) tydeligvis 20. september(nytt vindu) etter at angriperne kompromitterte kontoen til en støtte-agent, og de hadde tilgang til Discords brukerdata i omtrent 58 timer. Discord kontakter alle berørte brukere via e-post på noreply@discord.com.

Motivasjonen for angrepene ser ut til å være utelukkende økonomisk, hvor hackernes opprinnelige krav på 5 millioner dollar i løsepenger senere ble redusert til 3,5 millioner dollar. Discords talsperson sa til The Verge(nytt vindu) at Discord «ikke vil belønne de ansvarlige for deres ulovlige handlinger.»

Imidlertid er det motstridende rapporter om omfanget av angrepet og hvem som egentlig har skylden. Netkriminalitetsgruppen som tar på seg ansvaret for angrepet, Scattered LAPSUS$ Hunters, sier de stjal 1,5 terabyte med data fra 5,5 millioner brukere, inkludert over 2,1 millioner bilder av offentlige ID-er. Og 14. oktober (nytt vindu)benektet(nytt vindu) 5CA, den tredjeparts kundestøtte-tjenesten Discord påstår er ansvarlig for bruddet, at de håndterte offentlig utstedte ID-er for Discord, eller at systemet deres ble hacket (samtidig som de innrømmet at hendelsen potensielt skyldtes en menneskelig feil).

Så hvorfor samlet Discord inn bilder av offentlige ID-er?

For å overholde Storbritannias nye lov om aldersverifisering(nytt vindu) (og Australias kommende lov), har Discord eksperimentert med aldersverifisering(nytt vindu) ved bruk av enten en ansiktsskanning eller en skannet ID (som et pass eller førerkort).

Vanligvis krevde Discord en brukers selfie(nytt vindu) og brukte deretter programvare for å skanne bildet og anslå alderen deres. Discord ville deretter slette bildet på slutten av prosessen. Systemet som angivelig ble hacket, var en del av ankesystemet deres.

Hvis en bruker følte de ble urettmessig utestengt for å være for unge, kunne de sende et bilde av sin offentlig utstedte ID for å bidra til å bevise alderen sin. Det er disse dataene som angivelig ble stjålet. Og gitt Discords 200 millioner aktive brukere, hvis til og med en liten brøkdel av dem måtte gjennomgå ankeprosessen, er det potensielt millioner av ID-er.

At en sosial medier-plattform som primært brukes av spillere, føler et behov for å samle inn denne informasjonen, vis hvor langt formålsutglidningen av aldersverifiseringslover, hvis uttalte formål er å beskytte barn mot pornografi, allerede har spredt seg.

Slik beskytter du deg selv

Dette bruddet er en ny påminnelse om at vi ofte blir tvunget til å overlevere sensitive data med liten innsikt i hvordan de blir lagret, sikret eller delt. Selv om du ikke kan tilbakekalle data som allerede har lekket (er en lekkasje), kan du prøve å ta kontroll over hvilke data du dele fremover. Slik gjør du det:

• Gå gjennom hvor de sensitive dataene dine er: Hvis du har måttet dele sensitive data (som en ID), leste personvernerklæringen deres. Hvis du ikke lenger bruker den kontoen, se om det finnes et alternativ for å slette dataene dine.
• Bruk tjenester som ikke krever invaderende data: Dette blir stadig vanskeligere, men data som aldri samles inn kan ikke bli en lekkasje. Hvis du trenger en tjeneste, se etter de som er transparente(nytt vindu) om hvilke data de samler inn, til hvilket formål, og hvor lenge de vil bli lagret.
• Hold datadeling til et minimum pålogget: Selv (eller, med tanke på de mange nylige angrepene med fokus på støtteportaler, spesielt) under interaksjoner for støtte, ikke dele unødvendig informasjon. Bruk en VPN(nytt vindu) og e-postaliaser når det er mulig.

Hva dette betyr for aldersverifisering

Behovet for å beskytte barn mot de mange pålogget farene(nytt vindu) er reelt, så det er forståelig at myndigheter rundt om i verden, fra EU(nytt vindu) til Australia(nytt vindu) til Canada(nytt vindu), er ivrige etter å følge Storbritannias nylig håndhevede lov om aldersverifisering.

Hvorvidt slike lover er den beste løsningen på problemet, er åpent for debatt(nytt vindu), men det som er sikkert er at databrudd har blitt en så dagligdags rytme at vi knapt legger merke til nyhetsoverskrifter om enda et høyt profilert selskap som lekker (forårsaker en lekkasje av) millioner av menneskers personlige detaljer.

Og det har aldri vært noen grunn til å anta at de unikt sensitive aldersverifiseringsdataene ville være immune mot slike lekkasjer, et poeng dramatisk bevist av denne hendelsen.

Dette betyr at selv om du i prinsippet godkjenner lover om aldersverifisering, bør de ikke implementeres før genuint sikre, desentraliserte, åpne standardløsninger som genuint respekterer ditt personvern er utviklet og gjort allment tilgjengelige.