Den 3 oktober 2025 rapporterade Discord att hackare hade komprometterat en av dess tredjepartsleverantörer av kundtjänst och support (5CA), och påstås ha stulit minst 70 000 bilder(nytt fönster) av statligt utfärdade ID-handlingar (såsom pass eller körkort) som användes för åldersverifiering.

Enligt Discord inkluderar annan känslig information som stals:

  • Namn, Discord-användarnamn, e-postadresser och andra kontaktuppgifter som användare tillhandahöll för att få support.
  • Meddelanden eller konversationsutskrifter med supportagenter (till exempel vad användare kommunicerade med supportteam).
  • Begränsad fakturerings- och betalningsmetadata, inklusive betalningsmetod, köphistorik och de sista fyra siffrorna på kreditkort.
  • IP-adresser associerade med supportinteraktioner.
  • “Begränsade företagsdata” såsom utbildningsmaterial eller interna presentationer lagrade i supportsystemet.

De säger också att följande typer av känslig information inte komms åt:

  • Fullständiga kreditkortsnummer och säkerhetskoder (CCV)
  • Meddelanden eller aktivitet på Discord utöver vad användare kan ha diskuterat med kundsupport
  • Lösenord eller autentiseringsdata

Intrånget började tydligen(nytt fönster) den 20 september(nytt fönster) efter att angriparna komprometterat kontot hos en supportagent, och de hade åtkomst till Discord-användardata i ungefär 58 timmar. Discord kontaktar alla påverkade användare via e-post på noreply@discord.com.

Motivet för attackerna verkar vara helt ekonomiskt, med hackarnas ursprungliga lösensummakrav på 5 miljoner dollar som senare minskades till 3,5 miljoner dollar. Discords talesperson berättade för The Verge(nytt fönster) att Discord “inte kommer att belöna de ansvariga för deras olagliga handlingar.”

Det finns dock motstridiga rapporter om attackens omfattning och vem som verkligen bär skulden. Cyberbrottsgruppen som tar åt sig äran för attacken, Scattered LAPSUS$ Hunters, säger att de stal 1,5 terabyte data från 5,5 miljoner användare, inklusive över 2,1 miljoner foton av statliga ID-handlingar. Och den 14 oktober förnekade 5CA, den tredjepartsleverantör av kundsupport som Discord hävdar är ansvarig för intrånget, (nytt fönster)att(nytt fönster) de hanterade statligt utfärdade ID-handlingar för Discord, eller att deras system hackades (samtidigt som de medgav att incidenten potentiellt berodde på mänskliga fel).

Så varför samlade Discord in foton av statliga ID-handlingar?

För att följa Storbritanniens nya lag om åldersverifiering(nytt fönster) (och Australiens kommande) har Discord experimenterat med åldersverifiering(nytt fönster) med antingen en ansiktsskanning eller ett skannat ID (såsom pass eller körkort).

Vanligtvis krävde Discord en användares selfie(nytt fönster) och använde sedan mjukvara för att skanna fotot och uppskatta deras ålder. Discord skulle sedan ta bort fotot i slutet av processen. Systemet som påstås ha hackats var en del av dess överklagandeprocess.

Om en användare ansåg att de felaktigt blivit bannlysta för att vara för unga kunde de skicka ett foto av sitt statligt utfärdade ID för att hjälpa till att bevisa sin ålder. Det är dessa data som påstås ha stulits. Och med tanke på Discords 200 miljoner aktiva användare, om ens en liten bråkdel av dem var tvungna att gå igenom överklagandeprocessen, är det potentiellt miljontals ID-handlingar.

Att en plattform för sociala medier som främst används av gamers känner ett behov av att samla in denna information visar hur långt ändamålsglidningen (mission creep) för lagar om åldersverifiering, vars uttalade syfte är att skydda barn från pornografi, redan har spridit sig.

Hur du skyddar dig själv

Detta intrång är ännu en påminnelse om att vi ofta tvingas överlämna känsliga data med liten insyn i hur de lagras, säkras eller delas. Även om du inte kan återkalla data som redan har läckt, kan du försöka ta kontroll över vilka data du delar framöver. Så här:

  • Granska var dina känsliga data finns: Om du var tvungen att dela dina känsliga data (som ett ID), läs deras integritetspolicy. Om du inte längre använder det kontot, se om det finns ett alternativ för att ta bort dina data.
  • Använd tjänster som inte kräver invasiva data: Detta blir svårare, men data som aldrig samlas in kan inte läckas. Om du behöver en tjänst, leta efter sådana som är transparenta(nytt fönster) om vilka data den samlar in, för vilket syfte och hur länge de kommer att lagras.
  • Håll datadelning till ett minimum online: Även (eller, med tanke på de många nyliga attackerna som fokuserar på supportportaler, särskilt) under supportinteraktioner, dela inte någon onödig information. Använd en VPN(nytt fönster) och e-postalias när det är möjligt.

Vad detta betyder för åldersverifiering

Behovet av att skydda barn från de många skadorna online(nytt fönster) är verkligt, så det är förståeligt att regeringar runt om i världen, från EU(nytt fönster) till Australien(nytt fönster) till Kanada(nytt fönster), är angelägna om att följa Storbritanniens nyligen genomförda lag om åldersverifiering.

Huruvida sådana lagar är den bästa lösningen på problemet är öppet för debatt(nytt fönster), men vad som är säkert är att dataintrång har blivit en så daglig företeelse att vi knappt ens lägger märke till nyhetsrubriker om ännu ett högprofilerat företag som läcker miljontals människors personuppgifter.

Och det har aldrig funnits någon anledning att anta att de unikt känsliga uppgifterna för åldersverifiering skulle vara immuna mot sådana läckor, en poäng som dramatiskt bevisats av denna incident.

Detta innebär att även om du godkänner lagar om åldersverifiering i princip, bör de inte implementeras förrän genuint säkra, decentraliserade, öppna standardlösningar som verkligen respekterar din integritet har utvecklats och gjorts allmänt tillgängliga.