3 Ekim 2025’te Discord, bilgisayar korsanlarının üçüncü taraf müşteri hizmetleri ve destek sağlayıcılarından birini (5CA) ele geçirdiğini (compromised) ve yaş doğrulaması için kullanılan pasaportlar veya sürücü belgeleri gibi devlet tarafından verilmiş kimliklerin en az 70.000 görüntüsünü çaldığını(yeni pencere) iddia etti.

Discord’a göre, çalınan diğer hassas bilgiler şunları içeriyor:

  • Adlar, Discord kullanıcı adları, e-posta adresleri ve kullanıcıların destek almak için sağladığı diğer kişi bilgileri.
  • Destek temsilcileriyle mesajlar veya yazışma dökümleri (örneğin, kullanıcıların destek ekipleriyle ne iletişim kurduğu).
  • Ödeme yöntemi, satın alma geçmişi ve kredi kartlarının son dört hanesi dahil olmak üzere sınırlı faturalandırma ve ödeme üst verileri .
  • Destek etkileşimleriyle ilişkili IP adresleri.
  • Destek sisteminde depolanan eğitim materyalleri veya dahili sunumlar gibi “sınırlı kurumsal veriler”.

Ayrıca aşağıdaki hassas bilgi türlerine erişim sağlanmadığını söylüyor:

  • Tam kredi kartı numaraları ve güvenlik kodları (CCV)
  • Kullanıcıların müşteri desteğiyle tartışmış olabileceklerinin ötesinde Discord’daki mesajlar veya etkinlikler
  • Parolalar veya kimlik doğrulama verileri

Ele geçirilme olayı görünüşe göre(yeni pencere) saldırganların bir destek temsilcisinin hesabını ele geçirmesinden sonra 20 Eylül’de başladı(yeni pencere) ve Discord kullanıcı verilerine yaklaşık 58 saat boyunca eriştiler. Discord, etkilenen tüm kullanıcılarla noreply@discord.com adresinden e-posta yoluyla iletişime geçiyor.

Saldırıların motivasyonu tamamen finansal gibi görünüyor, bilgisayar korsanlarının ilk 5 milyon dolarlık fidye talebi daha sonra 3,5 milyon dolara düşürüldü. Discord’un sözcüsü The Verge(yeni pencere)‘e Discord’un “yasadışı eylemlerinden sorumlu olanları ödüllendirmeyeceğini” söyledi.

Ancak, saldırının kapsamı ve kimin gerçekten hatalı olduğu konusunda çelişkili raporlar var. Saldırının kredisini üstlenen siber suç grubu Scattered LAPSUS$ Hunters, 5,5 milyon kullanıcıdan 1,5 terabayt veri çaldığını, buna 2,1 milyondan fazla devlet kimliği fotoğrafının dahil olduğunu söylüyor. Ve 14 Ekim’de, Discord’un ihlalden sorumlu olduğunu iddia ettiği üçüncü taraf müşteri desteği hizmeti 5CA, Discord için devlet tarafından verilen kimlikleri işlediğini veya sisteminin hacklendiğini (yeni pencere)reddetti(yeni pencere) (aynı zamanda olayın potansiyel olarak insan hatasından kaynaklandığını da kabul etti).

Peki Discord neden devlet kimliklerinin fotoğraflarını topladı?

Birleşik Krallık’ın yeni yaş doğrulama yasasına(yeni pencere) (ve Avustralya’nın yaklaşan yasasına) uymak için Discord, yüz taraması veya taranmış bir kimlik (pasaport veya sürücü belgesi gibi) kullanarak yaş doğrulaması denemeleri(yeni pencere) yapıyor.

Tipik olarak, Discord bir kullanıcının özçekimini (selfie) gerektiriyordu(yeni pencere) ve ardından fotoğrafı taramak ve yaşını tahmin etmek için yazılım kullanıyordu. Discord daha sonra işlemin sonunda fotoğrafı siliyordu. Hacklendiği iddia edilen sistem, itiraz sürecinin bir parçasıydı.

Bir kullanıcı çok genç olduğu için haksız yere yasaklandığını hissederse, yaşını kanıtlamaya yardımcı olması için devlet tarafından verilmiş kimliğinin bir fotoğrafını gönderebilirdi. İddiaya göre çalınan veri bu veridir. Ve Discord’un 200 milyon aktif kullanıcısı göz önüne alındığında, bunların küçük bir kısmı bile itiraz sürecinden geçmek zorunda kalsaydı, bu potansiyel olarak milyonlarca kimlik anlamına gelirdi.

Öncelikle oyuncular tarafından kullanılan bir sosyal medya platformunun bu bilgileri toplamaya ihtiyaç duyması, belirtilen amacı çocukları pornografiden korumak olan yaş doğrulama yasalarının görev kaymasının şimdiden ne kadar yayıldığını gösteriyor.

Kendinizi nasıl korursunuz

Bu ihlal, hassas verileri nasıl depolandığı, güvence altına alındığı veya paylaşıldığı konusunda çok az görünürlükle teslim etmeye sıklıkla zorlandığımızın bir başka hatırlatıcısıdır. Halihazırda sızdırılmış verileri geri çağıramasanız da, ileriye dönük olarak hangi verileri paylaştığınızı kontrol etmeye çalışabilirsiniz. İşte nasıl:

  • Hassas verilerinizin nerede olduğunu denetleyin: Hassas verilerinizi (kimlik gibi) paylaşmak zorunda kaldıysanız, gizlilik ilkelerini okuyun. O hesabı artık kullanmıyorsanız, verilerinizi silme seçeneği olup olmadığına bakın.
  • İstilacı veriler gerektirmeyen hizmetleri kullanın: Bu giderek zorlaşıyor, ancak asla toplanmayan veriler sızdırılamaz. Bir hizmete ihtiyacınız varsa, hangi verileri topladığı, hangi amaçla ve ne kadar süreyle depolanacağı konusunda şeffaf(yeni pencere) olanları arayın.
  • Çevrim içi veri paylaşımını minimumda tutun: Hatta (veya destek portallarına odaklanan son zamanlardaki birçok saldırı göz önüne alındığında, özellikle) destek etkileşimleri sırasında, gereksiz herhangi bir bilgiyi paylaşmayın. Mümkün olduğunda bir VPN(yeni pencere) ve e-posta takma adları kullanın.

Bu, yaş doğrulaması için ne anlama geliyor

Çocukları birçok çevrim içi zarardan(yeni pencere) koruma ihtiyacı gerçektir, bu nedenle AB(yeni pencere)‘den Avustralya(yeni pencere)‘ya ve Kanada(yeni pencere)‘ya kadar dünyanın dört bir yanındaki hükümetlerin Birleşik Krallık’ın yeni yürürlüğe giren yaş doğrulama yasasını takip etmeye istekli olması anlaşılabilir bir durumdur.

Bu tür yasaların soruna en iyi çözüm olup olmadığı tartışmaya açıktır(yeni pencere), ancak kesin olan şey, veri ele geçirilme olaylarının (breaches) o kadar günlük bir rutin haline geldiğidir ki, milyonlarca insanın kişisel ayrıntılarını sızdıran bir başka yüksek profilli şirket hakkındaki haber manşetlerini neredeyse hiç fark etmiyoruz bile.

Ve benzersiz derecede hassas yaş doğrulama verilerinin bu tür sızıntılardan muaf olacağını varsaymak için hiçbir zaman bir neden olmadı; bu olayla dramatik bir şekilde kanıtlanmış bir nokta.

Bu, yaş doğrulama yasalarını ilke olarak onaylasanız bile, gizliliğinize gerçekten saygı duyan gerçekten güvenli, merkezi olmayan, açık standartlı çözümler geliştirilip yaygın olarak kullanılabilir hale getirilmeden önce bunların uygulanmaması gerektiği anlamına gelir.