70.000 overheids-ID’s **gelekt** in Discord-data**schending**

Op 3 oktober 2025 meldde Discord dat hackers een van zijn **derden**-klantenservice- en **ondersteuning**sproviders (5CA) hadden **gecompromitteerd** en naar verluidt minstens 70.000 afbeeldingen hadden gestolen(nieuw venster) van door de overheid uitgegeven ID’s (zoals paspoorten of rijbewijzen) die werden gebruikt voor leeftijdsverificatie.

Volgens Discord omvat andere gevoelige informatie die is gestolen:

• Namen, Discord-**gebruikersnamen**, **e-mailadressen** en andere **contactgegevens** die **gebruikers** hebben verstrekt om **ondersteuning** te ontvangen.
• **Berichten** of transcripties van **gesprekken** met **ondersteuning**sagenten (bijvoorbeeld wat **gebruikers** hebben gecommuniceerd met **ondersteuning**steams).
• Beperkte facturerings- en betalings**metagegevens**, inclusief **betaalmethode**, aankoopgeschiedenis en de laatste vier cijfers van **kredietkaarten**.
• IP-**adressen** geassocieerd met **ondersteuning**sinteracties.
• “Beperkte bedrijfsgegevens” zoals trainingsmateriaal of interne presentaties die zijn **opgeslagen** in het **ondersteuning**ssysteem.

Het zegt ook dat de volgende soorten gevoelige informatie niet toegankelijk waren:

• Volledige **kredietkaart**nummers en **beveiligingscodes** (CCV)
• **Berichten** of activiteit op Discord buiten wat **gebruikers** mogelijk hebben besproken met de **klantenondersteuning**
• **Wachtwoorden** of **verificatie**gegevens

De **schending** begon blijkbaar(nieuw venster)op 20 september(nieuw venster) nadat de aanvallers het **account** van een **ondersteuning**sagent hadden **gecompromitteerd**, en ze hadden ongeveer 58 uur lang **toegang** tot Discord-**gebruikers**gegevens. Discord neemt via **e-mail** contact op met alle getroffen **gebruikers** via noreply@discord.com.

De motivatie voor de aanvallen lijkt volledig financieel te zijn, waarbij de initiële losgeldeis van $ 5 miljoen van de hackers later werd verlaagd tot $ 3,5 miljoen. De woordvoerder van Discord vertelde aan The Verge(nieuw venster) dat Discord “degenen die verantwoordelijk zijn voor hun illegale acties niet zal belonen.”

Er zijn echter tegenstrijdige rapporten over de omvang van de aanval en wie er werkelijk schuldig is. De cybercriminaliteits**groep** die de eer opeist voor de aanval, Scattered LAPSUS$ Hunters, zegt dat het 1,5 terabyte aan gegevens heeft gestolen van 5,5 miljoen **gebruikers**, waaronder meer dan 2,1 miljoen foto’s van overheids-ID’s. En op 14 oktober **weigerde**(nieuw venster) 5CA, de **derden**-**klantenondersteuning**sdienst die volgens Discord verantwoordelijk is voor de **schending**, dat(nieuw venster) het door de overheid uitgegeven ID’s voor Discord behandelde, of dat zijn systeem was gehackt (terwijl het ook toegaf dat het incident mogelijk voortkwam uit een menselijke **fout**).

Dus waarom verzamelde Discord foto’s van overheids-ID’s?

Om te voldoen aan de nieuwe leeftijdsverificatiewet van het VK(nieuw venster) (en de aankomende van Australië), heeft Discord geëxperimenteerd met leeftijdsverificatie(nieuw venster) met behulp van een gezichtsscan of een **gescand** ID (zoals een paspoort of rijbewijs).

Normaal gesproken vereiste Discord een selfie van een **gebruiker**(nieuw venster) en gebruikte vervolgens **software** om de foto te **scannen** en hun leeftijd te schatten. Discord zou de foto dan aan het einde van het proces **verwijderen**. Het systeem dat naar verluidt was gehackt, maakte deel uit van het beroepsproces.

Als een **gebruiker** het gevoel had dat hij ten onrechte was verbannen omdat hij te jong was, kon hij een foto van zijn door de overheid uitgegeven ID **verzenden** om zijn leeftijd te helpen bewijzen. Het is deze data die naar verluidt is gestolen. En gezien de 200 miljoen actieve **gebruikers** van Discord, als zelfs maar een kleine fractie van hen het beroepsproces moest doorlopen, zijn dat mogelijk miljoenen ID’s.

Dat een sociale media-**platform** dat voornamelijk door gamers wordt gebruikt, de noodzaak voelt om deze informatie te verzamelen, **toont** aan hoe ver de ‘mission creep’ van leeftijdsverificatiewetten, waarvan het verklaarde doel is om kinderen te beschermen tegen pornografie, zich al heeft verspreid.

Hoe u uzelf kunt beschermen

Deze **schending** is een nieuwe herinnering dat we vaak gedwongen worden om gevoelige data te overhandigen met weinig zicht op hoe deze wordt **opgeslagen**, beveiligd of **gedeeld**. Hoewel u data die al is **gelekt** niet kunt terugroepen, kunt u proberen controle te krijgen over welke data u in de toekomst **deelt**. Dit is hoe:

• Controleer waar uw gevoelige data is: Als u uw gevoelige data moest **delen** (zoals een ID), **lees** dan hun **Privacybeleid**. Als u dat **account** niet langer gebruikt, kijk dan of er een optie is om uw data te **verwijderen**.
• Gebruik diensten die geen invasieve data vereisen: Dit wordt steeds moeilijker, maar data die nooit wordt verzameld, kan niet worden **gelekt**. Als u een dienst nodig hebt, zoek dan naar diensten die transparant(nieuw venster) zijn over welke data ze verzamelen, voor welk doel en hoe lang deze wordt **opgeslagen**.
• Houd het **delen** van data tot een minimum **online**: Zelfs (of, gezien de vele recente aanvallen gericht op **ondersteuning**sportals, vooral) tijdens **ondersteuning**sinteracties, **deel** geen onnodige informatie. Gebruik een VPN(nieuw venster) en **e-mailadressen aliassen** waar mogelijk.

Wat dit betekent voor leeftijdsverificatie

De noodzaak om kinderen te beschermen tegen de vele **online** gevaren(nieuw venster) is reëel, dus het is begrijpelijk dat overheden over de hele wereld, van de EU(nieuw venster) tot Australië(nieuw venster) tot Canada(nieuw venster), erop gebrand zijn om de nieuw gehandhaafde leeftijdsverificatiewet van het VK te volgen.

Of dergelijke wetten de beste oplossing voor het probleem zijn, staat ter discussie(nieuw venster), maar wat zeker is, is dat data**schendingen** zo’n dagelijkse routine zijn geworden dat we nauwelijks nog nieuwsberichten opmerken over weer een spraakmakend bedrijf dat de persoonlijke **gegevens** van miljoenen mensen **lekt**.

En er is nooit enige reden geweest om te veronderstellen dat de uniek gevoelige leeftijdsverificatiedata immuun zou zijn voor dergelijke **lekken**, een punt dat op dramatische wijze is bewezen door dit incident.

Dit betekent dat zelfs als u in principe instemt met leeftijdsverificatiewetten, deze niet mogen worden geïmplementeerd voordat er echt veilige, gedecentraliseerde, open standaardoplossingen zijn ontwikkeld en breed beschikbaar zijn gemaakt die uw **privacy** echt respecteren.