2025 年 10 月 3 日,Discord 報告駭客入侵了其第三方客戶服務和支援供應商 (5CA) 之一,據稱竊取了至少 70,000 張(新視窗)用於年齡驗證的政府核發身分證件(例如護照或駕照)影像。
根據 Discord,其他被竊取的敏感資訊包括:
- 姓名、Discord 使用者名稱、電子郵件地址,以及使用者為了接收支援而提供的其他聯絡詳細資訊。
- 與支援專員的訊息或對話記錄(例如,使用者與支援團隊溝通的內容)。
- 有限的帳單和付款中繼資料, 包括付款方式、購買紀錄,以及信用卡的後四碼。
- 與支援互動相關聯的 IP 位址。
- 儲存在支援系統中的「有限企業資料」,例如訓練教材或內部簡報。
它也表示以下類型的敏感資訊未被存取:
- 完整信用卡號碼和安全代碼 (CCV)
- 除了使用者可能與客戶支援討論的內容之外,在 Discord 上的訊息或活動
- 密碼或驗證資料
該資料外洩顯然始於(新視窗) 9 月 20 日(新視窗),攻擊者入侵了一名支援專員的帳號,並且他們擁有大約 58 小時存取 Discord 使用者資料的權限。Discord 正透過電子郵件 noreply@discord.com 聯繫所有受影響的使用者。
攻擊的動機似乎完全是出於財務目的,駭客最初要求 500 萬美元贖金,後來降至 350 萬美元。Discord 的發言人告訴 The Verge(新視窗),Discord「不會獎勵那些應對其非法行為負責的人」。
然而,關於攻擊範圍和誰才是真正的過錯方有相互矛盾的報導。聲稱對此次攻擊負責的網路犯罪組織 Scattered LAPSUS$ Hunters 表示,它從 550 萬名使用者那裡竊取了 1.5 TB 的資料,包括超過 210 萬張政府身分證件照片。而在 10 月 14 日,Discord 指稱應對此次資料外洩負責的第三方客戶支援服務 5CA,(新視窗)否認(新視窗)其為 Discord 處理政府核發的身分證件,或其系統被駭(同時也承認該事件可能是人為錯誤造成的)。
那麼為何 Discord 收集政府身分證件照片?
為了遵守英國的新年齡驗證法律(新視窗)(以及澳洲即將推出的法律),Discord 一直在實驗使用臉部掃描或掃描身分證件(新視窗)(例如護照或駕照)進行年齡驗證。
通常,Discord 要求使用者的自拍照(新視窗),然後使用軟體掃描照片並估計其年齡。Discord 隨後會在流程結束時刪除該照片。據稱被駭的系統是其申訴流程的一部分。
如果使用者覺得他們因為太年輕而被錯誤停權,他們可以傳送政府核發身分證件的照片來協助證明他們的年齡。據稱被竊取的正是這些資料。考慮到 Discord 有 2 億活躍使用者,即使只有一小部分人必須經過申訴流程,這也可能是數百萬份身分證件。
一個主要由遊戲玩家使用的社交媒體平台覺得需要收集這些資訊,顯示了年齡驗證法律的任務擴張已經蔓延多遠,而其聲明的目的是保護兒童免受色情內容侵害。
如何保護自己
這次資料外洩再次提醒我們,我們經常被迫交出敏感資料,卻幾乎無法知曉其如何被已儲存、保護或共享。雖然您無法收回已經外洩的資料,但您可以嘗試掌控未來分享的資料。方法如下:
- 稽核您的敏感資料在哪裡:如果您必須分享您的敏感資料(如身分證件),請閱讀他們的隱私權政策。如果您不再使用該帳號,看看是否有選項可以刪除您的資料。
- 使用不需要侵入性資料的服務:這正變得越來越困難,但從未被收集的資料就不會外洩。如果您需要一項服務,尋找那些對收集什麼資料、目的為何以及將已儲存多久保持透明(新視窗)的服務。
- 將線上資料共享保持在最低限度:即使(或者考慮到最近許多針對支援入口網站的攻擊,尤其是)在支援互動期間,不要分享任何不必要的資訊。盡可能使用 VPN(新視窗) 和電子郵件別名。
這對年齡驗證意味著什麼
保護兒童免受許多線上傷害(新視窗)的需求是真實的,所以可以理解從歐盟(新視窗)到澳洲(新視窗)再到加拿大(新視窗)的世界各國政府,都熱衷於跟隨英國新實施的年齡驗證法律。
這類法律是否為問題的最佳解方是可以辯論的(新視窗),但可以確定的是,資料外洩已變成日常節奏,以至於我們幾乎不會注意到關於又一家知名公司外洩數百萬人個人詳細資料的新聞頭條。
而且從來沒有任何理由假設獨特敏感的年齡驗證資料能夠對此類外洩免疫,這次事件戲劇性地證明了這一點。
這意味著即使您原則上贊同年齡驗證法律,在真正安全、去中心化、真正尊重您隱私的開放標準解決方案被開發並廣泛可用之前,不應實施這些法律。
