70 000 правительственных удостоверений утекли в результате утечки данных Discord

3 октября 2025 года Discord сообщил, что хакеры раскрыли одного из его сторонних поставщиков обслуживания клиентов и поддержки (5CA) и якобы украли не менее 70 000 изображений(новое окно) выданных правительством удостоверений личности (таких как паспорта или водительские права), используемых для проверки возраста.

Согласно Discord, другая украденная чувствительная информация включает:

• Имена, имена пользователей Discord, адреса электронной почты и другие контактные данные, которые пользователи предоставили для получения поддержки.
• Сообщения или стенограммы цепочек писем с агентами поддержки (например, то, что пользователи сообщали командам поддержки).
• Ограниченные метаданные о счетах и платежах, включая способ оплаты, историю покупок и последние четыре цифры кредитных карт.
• IP-адреса, связанные с взаимодействиями со службой поддержки.
• «Ограниченные корпоративные данные», такие как учебные материалы или внутренние презентации, сохраненные в системе поддержки.

Он также заявляет, что следующие типы чувствительной информации не были затронуты:

• Полные номера кредитных карт и коды безопасности (CCV)
• Сообщения или активность в Discord за пределами того, что пользователи могли обсуждать с поддержкой клиентов
• Пароли или данные аутентификации

Утечка, по-видимому(новое окно), началась 20 сентября(новое окно) после того, как злоумышленники скомпрометировали аккаунт агента поддержки, и у них был доступ к данным пользователей Discord примерно в течение 58 часов. Discord связывается со всеми пострадавшими пользователями по электронной почте noreply@discord.com.

Мотивация атак, по-видимому, была исключительно финансовой: первоначальное требование выкупа хакеров в размере 5 миллионов долларов позже было снижено до 3,5 миллионов долларов. Представитель Discord сообщил The Verge(новое окно), что Discord «не будет вознаграждать тех, кто несет ответственность за свои незаконные действия».

Однако существуют противоречивые сообщения о масштабах атаки и о том, кто на самом деле виноват. Группа киберпреступников, взявшая на себя ответственность за атаку, Scattered LAPSUS$ Hunters, утверждает, что украла 1,5 терабайта данных у 5,5 миллионов пользователей, включая более 2,1 миллиона фотографий правительственных удостоверений. А 14 октября 5CA, сторонний сервис поддержки клиентов, который Discord обвиняет в ответственности за утечку, (новое окно)отрицал, что(новое окно) он обрабатывал выданные правительством удостоверения для Discord или что его система была взломана (при этом также признавая, что инцидент потенциально мог быть результатом человеческой ошибки).

Так почему Discord собирал фотографии правительственных удостоверений?

Чтобы соблюсти новый закон Великобритании о проверке возраста(новое окно) (и предстоящий закон Австралии), Discord экспериментировал с проверкой возраста(новое окно), используя либо сканирование лица, либо отсканированное удостоверение (например, паспорт или водительские права).

Как правило, Discord требовал селфи пользователя(новое окно), а затем использовал программное обеспечение для сканирования фотографии и оценки его возраста. Затем Discord удалял фотографию в конце процесса. Система, которая якобы была взломана, была частью процесса апелляции.

Если пользователь чувствовал, что его несправедливо забанили за слишком юный возраст, он мог отправить фото своего выданного правительством удостоверения, чтобы помочь доказать свой возраст. Именно эти данные якобы были украдены. И учитывая 200 миллионов активных пользователей Discord, если даже небольшой части из них пришлось пройти процесс апелляции, это потенциально миллионы удостоверений.

То, что платформа социальных сетей, используемая в основном геймерами, чувствует необходимость собирать эту информацию, показывает, насколько далеко зашло расширение миссии законов о проверке возраста, чья заявленная цель — защитить детей от порнографии.

Как защитить себя

Эта утечка является еще одним напоминанием о том, что нас часто заставляют передавать чувствительные данные с малым пониманием того, как они хранятся, защищаются или передаются. Хотя вы не можете отозвать данные, которые уже утекли, вы можете попытаться взять под контроль то, какими данными вы поделитесь в будущем. Вот как:

• Проведите аудит того, где находятся ваши чувствительные данные: если вам пришлось поделиться своими чувствительными данными (например, удостоверением личности), прочитайте их Политику конфиденциальности. Если вы больше не используете этот аккаунт, посмотрите, есть ли возможность удалить ваши данные.
• Используйте сервисы, которые не требуют инвазивных данных: это становится все труднее, но данные, которые никогда не собирались, не могут утечь. Если вам нужен сервис, ищите те, которые прозрачны(новое окно) в отношении того, какие данные они собирают, с какой целью и как долго они будут сохранены.
• Сведите обмен данными онлайн к минимуму: Даже (или, учитывая множество недавних атак, направленных на порталы поддержки, особенно) во время взаимодействия с поддержкой не делитесь никакой ненужной информацией. Используйте VPN(новое окно) и псевдонимы электронной почты, когда это возможно.

Что это значит для проверки возраста

Необходимость защищать детей от множества онлайн-угроз(новое окно) реальна, поэтому понятно, что правительства во всем мире, от ЕС(новое окно) до Австралии(новое окно) и Канады(новое окно), стремятся последовать недавно вступившему в силу закону Великобритании о проверке возраста.

Являются ли такие законы лучшим решением проблемы, открыто для дебатов(новое окно), но несомненно то, что утечки данных стали настолько повседневным явлением, что мы почти не замечаем новостных заголовков об очередной известной компании, допустившей утечку личных данных миллионов людей.

И никогда не было причин полагать, что уникально чувствительные данные проверки возраста будут защищены от таких утечек, что драматически подтверждает этот инцидент.

Это означает, что даже если вы одобряете законы о проверке возраста в принципе, они не должны внедряться до тех пор, пока не будут разработаны и сделаны широко доступными по-настоящему безопасные, децентрализованные решения с открытыми стандартами, которые действительно уважают вашу конфиденциальность.