A 3 de outubro de 2025, o Discord relatou que hackers tinham comprometido um dos seus fornecedores de apoio ao cliente e suporte terceiros (5CA) e alegadamente roubado pelo menos 70 000 imagens(nova janela) de IDs emitidos pelo governo (como passaportes ou cartas de condução) usados para verificação de idade.

De acordo com o Discord, outras informações sensíveis que foram roubadas incluem:

  • Nomes, nomes de utilizador do Discord, endereços de e-mail e outros detalhes de contacto que os utilizadores forneceram para receber apoio ao cliente.
  • Mensagens ou transcrições de conversas com agentes de suporte (por exemplo, o que os utilizadores comunicaram às equipas de suporte).
  • Metadados de faturação e pagamento limitados, incluindo o método de pagamento, o histórico de compras e os últimos quatro dígitos dos cartões de crédito.
  • Endereços IP associados a interações de suporte.
  • “Dados corporativos limitados”, como materiais de formação ou apresentações internas armazenadas no sistema de suporte.

Diz também que os seguintes tipos de informações sensíveis não foram acedidos:

  • Números completos de cartão de crédito e códigos de segurança (CCV)
  • Mensagens ou atividade no Discord além do que os utilizadores possam ter discutido com o apoio ao cliente
  • Palavras-passe ou dados de autenticação

O incidente aparentemente(nova janela) começou a 20 de setembro(nova janela) depois de os atacantes terem comprometido a conta de um agente de suporte, e tiveram acesso aos dados de utilizador do Discord durante cerca de 58 horas. O Discord está a contactar todos os utilizadores impactados via e-mail em noreply@discord.com.

A motivação para os ataques parece ser inteiramente financeira, com o pedido de resgate inicial de 5 milhões de dólares dos hackers reduzido posteriormente para 3,5 milhões de dólares. O porta-voz do Discord disse ao The Verge(nova janela) que o Discord “não recompensará os responsáveis pelas suas ações ilegais.”

No entanto, existem relatos contraditórios sobre o âmbito do ataque e quem é verdadeiramente culpado. O grupo de cibercrime que reivindica crédito pelo ataque, Scattered LAPSUS$ Hunters, diz que roubou 1,5 terabytes de dados de 5,5 milhões de utilizadores, incluindo mais de 2,1 milhões de fotografias de IDs governamentais. E a 14 de outubro, a 5CA, o serviço de apoio ao cliente terceiro que o Discord alega ser responsável pelo incidente, (nova janela)negou que(nova janela) manuseasse IDs emitidos pelo governo para o Discord, ou que o seu sistema tivesse sido hackeado (embora admitindo também que o incidente resultou potencialmente de erro humano).

Então, porque é que o Discord recolheu fotografias de IDs governamentais?

Para cumprir a nova lei de verificação de idade do Reino Unido(nova janela) (e a futura lei da Austrália), o Discord tem estado a experimentar a verificação de idade(nova janela) usando uma digitalização facial ou um ID digitalizado (como um passaporte ou carta de condução).

Tipicamente, o Discord exigia uma selfie do utilizador(nova janela) e depois usava software para digitalizar a fotografia e estimar a sua idade. O Discord eliminaria então a fotografia no final do processo. O sistema que foi alegadamente hackeado fazia parte do seu processo de recurso.

Se um utilizador sentisse que foi banido injustamente por ser demasiado jovem, podia enviar uma fotografia do seu ID emitido pelo governo para ajudar a provar a sua idade. São estes dados que foram alegadamente roubados. E dados os 200 milhões de utilizadores ativos do Discord, se mesmo uma pequena fração deles tivesse de passar pelo processo de recurso, isso são potencialmente milhões de IDs.

O facto de uma plataforma de redes sociais usada principalmente por jogadores sentir necessidade de recolher esta informação mostra até que ponto a expansão da missão das leis de verificação de idade, cujo objetivo declarado é proteger as crianças da pornografia, já se espalhou.

Como proteger-se

Este incidente é outro lembrete de que somos frequentemente forçados a entregar dados sensíveis com pouca visibilidade sobre como são armazenados, protegidos ou partilhados. Embora não possa recuperar dados que já foram alvo de uma fuga, pode tentar assumir o controlo dos dados que partilha daqui para a frente. Eis como:

  • Audite onde estão os seus dados sensíveis: Se teve de partilhar os seus dados sensíveis (como um ID), leia a política de privacidade deles. Se já não usa essa conta, veja se existe uma opção para eliminar os seus dados.
  • Use serviços que não exijam dados invasivos: Isto está a tornar-se mais difícil, mas dados que nunca são recolhidos não podem ser alvo de uma fuga. Se precisa de um serviço, procure aqueles que são transparentes(nova janela) sobre que dados recolhem, com que finalidade e quanto tempo serão armazenados.
  • Mantenha a partilha de dados ao mínimo online: Mesmo (ou, dados os muitos ataques recentes focados em portais de suporte, especialmente) durante interações de suporte, não partilhe qualquer informação desnecessária. Use uma VPN(nova janela) e alias de e-mail sempre que possível.

O que isto significa para a verificação de idade

A necessidade de proteger as crianças dos muitos danos online(nova janela) é real, por isso é compreensível que governos de todo o mundo, desde a UE(nova janela) à Austrália(nova janela) e ao Canadá(nova janela), estejam ansiosos por seguir a recém-aplicada lei de verificação de idade do Reino Unido.

Se tais leis são a melhor solução para o problema está aberto a debate(nova janela), mas o que é certo é que os incidentes de dados tornaram-se uma ocorrência diária tal que mal notamos as manchetes de notícias sobre mais uma empresa de alto perfil a sofrer uma fuga de milhões de detalhes pessoais de pessoas.

E nunca houve qualquer razão para supor que os dados de verificação de idade unicamente sensíveis estariam imunes a tais fugas, um ponto dramaticamente provado por este incidente.

Isto significa que, mesmo que aprove as leis de verificação de idade em princípio, elas não devem ser implementadas antes de serem desenvolvidas e disponibilizadas amplamente soluções genuinamente seguras, descentralizadas e de padrão aberto que respeitem genuinamente a sua privacidade.