70 000 rządowych dokumentów tożsamości wyciekło w naruszeniu danych Discord

3 października 2025 r. Discord poinformował, że hakerzy skompromitowali jednego z jego zewnętrznych dostawców obsługi klienta i wsparcia (5CA) i rzekomo ukradli co najmniej 70 000 zdjęć(nowe okno) wydanych przez rząd dokumentów tożsamości (takich jak paszporty czy prawa jazdy) używanych do weryfikacji wieku.

Według Discord, inne wrażliwe informacje, które zostały skradzione, obejmują:

• Imiona i nazwiska, nazwy użytkownika Discord, adresy e-mail i inne szczegóły kontaktu, które użytkownicy podali, aby otrzymać wsparcie.
• Wiadomości lub transkrypcje rozmów z agentami wsparcia (na przykład to, co użytkownicy przekazali zespołom wsparcia).
• Ograniczone metadane rozliczeniowe i płatnicze, w tym metoda płatności, historia zakupów i ostatnie cztery cyfry kart płatniczych.
• Adresy IP powiązane z interakcjami wsparcia.
• „Ograniczone dane korporacyjne”, takie jak materiały szkoleniowe lub wewnętrzne prezentacje przechowywane w systemie wsparcia.

Stwierdza również, że następujące typy wrażliwych informacji nie zostały objęte dostępem:

• Pełne numery kart płatniczych i kody zabezpieczające (CCV)
• Wiadomości lub aktywność na Discord poza tym, co użytkownicy mogli omówić z wsparciem klienta
• Hasła lub dane uwierzytelniające

Naruszenie rzekomo(nowe okno) rozpoczęło się 20 września(nowe okno) po tym, jak atakujący skompromitowali konto agenta wsparcia, i mieli dostęp do danych użytkowników Discord przez około 58 godzin. Discord kontaktuje się ze wszystkimi poszkodowanymi użytkownikami za pośrednictwem e-maila z adresu noreply@discord.com.

Motywacja ataków wydaje się być całkowicie finansowa, a początkowe żądanie okupu w wysokości 5 milionów dolarów zostało później zmniejszone do 3,5 miliona dolarów. Rzecznik Discord powiedział serwisowi The Verge(nowe okno), że Discord „nie nagrodzi osób odpowiedzialnych za ich nielegalne działania”.

Jednak istnieją sprzeczne doniesienia dotyczące zakresu ataku i tego, kto naprawdę jest winny. Grupa cyberprzestępcza przyznająca się do ataku, Scattered LAPSUS$ Hunters, twierdzi, że ukradła 1,5 terabajta danych od 5,5 miliona użytkowników, w tym ponad 2,1 miliona zdjęć rządowych dokumentów tożsamości. A 14 października 5CA, usługa wsparcia klienta strony trzeciej, którą Discord obwinia za naruszenie, (nowe okno)zaprzeczyła, że(nowe okno) obsługiwała wydane przez rząd dokumenty tożsamości dla Discord, lub że jej system został zhakowany (jednocześnie przyznając, że incydent mógł wynikać z błędu ludzkiego).

Więc dlaczego Discord zbierał zdjęcia rządowych dokumentów tożsamości?

Aby zachować zgodność z nowym brytyjskim prawem weryfikacji wieku(nowe okno) (i nadchodzącym australijskim), Discord eksperymentował z weryfikacją wieku(nowe okno) za pomocą skanu twarzy lub zeskanowanego dowodu tożsamości (takiego jak paszport lub prawo jazdy).

Zazwyczaj Discord wymagał selfie użytkownika(nowe okno), a następnie używał oprogramowania do zeskanowania zdjęcia i oszacowania wieku. Następnie Discord usuwał zdjęcie po zakończeniu procesu. System, który został rzekomo zhakowany, był częścią procesu odwoławczego.

Jeśli użytkownik uznał, że został niesłusznie zbanowany za bycie zbyt młodym, mógł wysłać zdjęcie swojego wydanego przez rząd dowodu tożsamości, aby pomóc udowodnić swój wiek. To właśnie te dane zostały rzekomo skradzione. A biorąc pod uwagę 200 milionów aktywnych użytkowników Discord, jeśli nawet niewielki ułamek z nich musiał przejść przez proces odwoławczy, to potencjalnie miliony dokumentów.

To, że platforma mediów społecznościowych używana głównie przez graczy czuje potrzebę zbierania tych informacji, pokazuje, jak daleko poszerzył się zakres przepisów dotyczących weryfikacji wieku, których deklarowanym celem jest ochrona dzieci przed pornografią.

Jak się chronić

To naruszenie jest kolejnym przypomnieniem, że często jesteśmy zmuszani do przekazywania wrażliwych danych przy niewielkiej wiedzy o tym, jak są one przechowywane, zabezpieczane lub udostępniane. Chociaż nie możesz cofnąć danych, które już wyciekły, możesz spróbować przejąć kontrolę nad tym, jakie dane udostępniasz w przyszłości. Oto jak:

• Sprawdź, gdzie są Twoje wrażliwe dane: Jeśli musiałeś udostępnić swoje wrażliwe dane (jak dowód tożsamości), przeczytaj ich politykę prywatności. Jeśli nie używasz już tego konta, sprawdź, czy istnieje opcja usunięcia Twoich danych.
• Korzystaj z usług, które nie wymagają inwazyjnych danych: Staje się to coraz trudniejsze, ale dane, które nigdy nie są zbierane, nie mogą wyciec. Jeśli potrzebujesz usługi, szukaj takich, które są przejrzyste(nowe okno) w kwestii tego, jakie dane zbierają, w jakim celu i jak długo będą one przechowywane.
• Ogranicz udostępnianie danych online do minimum: Nawet (lub biorąc pod uwagę wiele ostatnich ataków skupiających się na portalach wsparcia, zwłaszcza) podczas interakcji ze wsparciem, nie udostępniaj żadnych niepotrzebnych informacji. Używaj VPN(nowe okno) i aliasów e-mail, kiedy tylko jest to możliwe.

Co to oznacza dla weryfikacji wieku

Potrzeba ochrony dzieci przed wieloma szkodami online(nowe okno) jest realna, więc zrozumiałe jest, że rządy na całym świecie, od UE(nowe okno) przez Australię(nowe okno) po Kanadę(nowe okno), chętnie podążają za nowo wprowadzonym brytyjskim prawem weryfikacji wieku.

To, czy takie przepisy są najlepszym rozwiązaniem problemu, jest kwestią dyskusyjną(nowe okno), ale pewne jest to, że naruszenia danych stały się tak codzienną sprawą, że prawie nie zauważamy nagłówków o kolejnej głośnej firmie, z której wyciekły dane osobowe milionów ludzi.

I nigdy nie było powodu, by sądzić, że wyjątkowo wrażliwe dane weryfikacji wieku będą odporne na takie wycieki, co dramatycznie udowodnił ten incydent.

Oznacza to, że nawet jeśli popierasz przepisy dotyczące weryfikacji wieku co do zasady, nie powinny one być wdrażane, dopóki nie zostaną opracowane i szeroko udostępnione rzeczywiście bezpieczne, zdecentralizowane rozwiązania o otwartym standardzie, które naprawdę szanują Twoją prywatność.