70.000 de ID-uri guvernamentale divuigate într-o încălcare de date Discord

Pe 3 octombrie 2025, Discord a raportat că hackerii au compromis unul dintre furnizorii săi terți de servicii și asistență clienți (5CA) și presupus au furat cel puțin 70.000 de imagini(fereastră nouă) cu ID-uri emise de guvern (cum ar fi pașapoarte sau permise de conducere) folosite pentru verificarea vârstei.

Conform Discord, alte informații sensibile care au fost furate includ:

• Nume, nume de utilizator Discord, adrese de e-mail și alte detalii de contact pe care utilizatorii le-au furnizat pentru a primi asistență.
• Mesaje sau transcrieri ale conversațiilor cu agenții de asistență (de exemplu, ce au comunicat utilizatorii cu echipele de asistență).
• Metadate limitate de facturare și plată, inclusiv metoda de plată, istoricul achizițiilor și ultimele patru cifre ale cardurilor de credit.
• Adrese IP asociate cu interacțiunile de asistență.
• „Date corporative limitate”, cum ar fi materiale de instruire sau prezentări interne stocate în sistemul de asistență.

De asemenea, spune că următoarele tipuri de informații sensibile nu au fost accesate:

• Numere complete de carduri de credit și coduri de securitate (CCV)
• Mesaje sau activitate pe Discord dincolo de ceea ce utilizatorii ar fi putut discuta cu asistența pentru clienți
• Parole sau date de autentificare

Încălcarea a început aparent(fereastră nouă) pe 20 septembrie(fereastră nouă) după ce atacatorii au compromis contul unui agent de asistență și au avut acces la datele utilizatorilor Discord timp de aproximativ 58 de ore. Discord contactează toți utilizatorii afectați via e-mail la noreply@discord.com.

Motivația atacurilor pare a fi în întregime financiară, cererea inițială de răscumpărare de 5 milioane de dolari a hackerilor fiind ulterior redusă la 3,5 milioane de dolari. Purtătorul de cuvânt al Discord a declarat pentru The Verge(fereastră nouă) că Discord „nu îi va recompensa pe cei responsabili pentru acțiunile lor ilegale”.

Cu toate acestea, există rapoarte contradictorii cu privire la amploarea atacului și cine este cu adevărat vinovat. Grupul de criminalitate cibernetică care revendică creditul pentru atac, Scattered LAPSUS$ Hunters, spune că a furat 1,5 terabytes de date de la 5,5 milioane de utilizatori, inclusiv peste 2,1 milioane de fotografii cu ID-uri guvernamentale. Iar pe 14 octombrie, 5CA, serviciul terț de asistență pentru clienți pe care Discord îl consideră responsabil pentru încălcare, (fereastră nouă)a negat că(fereastră nouă) a gestionat ID-uri emise de guvern pentru Discord sau că sistemul său a fost piratat (recunoscând totodată că incidentul a rezultat potențial dintr-o eroare umană).

Deci, de ce a colectat Discord fotografii ale ID-urilor guvernamentale?

Pentru a se conforma noii legi de verificare a vârstei din Marea Britanie(fereastră nouă) (și celei viitoare din Australia), Discord a experimentat cu verificarea vârstei(fereastră nouă) folosind fie o scanare a feței, fie un ID scanat (cum ar fi un pașaport sau permis de conducere).

În mod obișnuit, Discord solicita un selfie al utilizatorului(fereastră nouă) și apoi folosea un software pentru a scana fotografia și a estima vârsta acestuia. Discord ștergea apoi fotografia la sfârșitul procesului. Sistemul care a fost presupus piratat făcea parte din procesul său de contestații.

Dacă un utilizator simțea că a fost interzis pe nedrept pentru că era prea tânăr, putea trimite o fotografie a actului său de identitate emis de guvern pentru a ajuta la dovedirea vârstei. Aceste date au fost presupus furate. Și având în vedere cei 200 de milioane de utilizatori activi ai Discord, chiar dacă o mică parte dintre ei au trebuit să treacă prin procesul de apel, asta înseamnă potențial milioane de ID-uri.

Faptul că o platformă de social media folosită în principal de gameri simte nevoia de a colecta aceste informații arată cât de departe s-a răspândit deja extinderea misiunii legilor de verificare a vârstei, al căror scop declarat este protejarea copiilor de pornografie.

Cum să vă protejați

Această încălcare este un alt memento că suntem adesea forțați să predăm date sensibile cu puțină vizibilitate asupra modului în care sunt stocate, securizate sau partajate. Deși nu puteți recupera datele care au fost deja divulgate, puteți încerca să preluați controlul asupra datelor pe care le partajați pe viitor. Iată cum:

• Auditați unde sunt datele dvs. sensibile: Dacă a trebuit să partajați datele dvs. sensibile (precum un ID), citiți politica lor de confidențialitate. Dacă nu mai folosiți acel cont, vedeți dacă există o opțiune pentru a vă șterge datele.
• Folosiți servicii care nu necesită date invazive: Acest lucru devine tot mai dificil, dar datele care nu sunt colectate niciodată nu pot fi divulgate. Dacă aveți nevoie de un serviciu, căutați unele care sunt transparente(fereastră nouă) cu privire la datele pe care le colectează, în ce scop și cât timp vor fi stocate.
• Păstrați partajarea datelor la un nivel minim online: Chiar (sau, având în vedere numeroasele atacuri recente axate pe portalurile de asistență, mai ales) în timpul interacțiunilor de asistență, nu partajați informații inutile. Folosiți un VPN(fereastră nouă) și aliasuri de e-mail ori de câte ori este posibil.

Ce înseamnă acest lucru pentru verificarea vârstei

Nevoia de a proteja copiii de numeroasele pericole online(fereastră nouă) este reală, așa că este de înțeles că guvernele din întreaga lume, de la UE(fereastră nouă) la Australia(fereastră nouă) și Canada(fereastră nouă), sunt dornice să urmeze legea de verificare a vârstei nou aplicată în Marea Britanie.

Dacă astfel de legi sunt cea mai bună soluție la problemă este deschis dezbaterii(fereastră nouă), dar ceea ce este sigur este că încălcările de date au devenit o rutină zilnică încât abia observăm titlurile știrilor despre încă o companie de profil înalt care divulgă detaliile personale a milioane de oameni.

Și nu a existat niciodată vreun motiv să presupunem că datele de verificare a vârstei, extrem de sensibile, ar fi imune la astfel de divulgări, un punct dovedit dramatic de acest incident.

Aceasta înseamnă că, chiar dacă aprobați legile de verificare a vârstei în principiu, acestea nu ar trebui implementate înainte ca soluții standard deschise, descentralizate și cu adevărat sigure, care vă respectă cu adevărat confidențialitatea, să fie dezvoltate și puse la dispoziție pe scară largă.