Iamprovider

اختراق شركة التحقق من العمر قد يعرض صور هوية 70,000 مستخدم من Discord للخطر

اختراق شركة التحقق من العمر قد يعرض صور هوية 70,000 مستخدم من Discord للخطر

تفاصيل الاختراق: ماذا حدث ومتى

في 3 أكتوبر 2025، كشفت Discord أن جهة غير مصرح لها تمكنت من الوصول إلى أحد مزودي خدمة العملاء التابعين لجهة خارجية، وهو 5CA. بدأ الاختراق حوالي 20 سبتمبر، واخترق حساب وكيل دعم، مما منح المتسللين إمكانية الوصول إلى بيانات مستخدمي Discord لمدة 58 ساعة تقريبًا. يُزعم أن المهاجم (المهاجمين) سرقوا ما لا يقل عن 70,000 صورة من وثائق الهوية الصادرة عن الحكومة - مثل جوازات السفر أو رخص القيادة - التي قدمها المستخدمون للتحقق من العمر. ويُقال أيضًا أن الجاني يحاول ابتزاز فدية من الشركة المتضررة.

ما هي البيانات التي تم كشفها؟

إلى جانب صور الهوية، قد يكون الاختراق قد كشف أسماء المستخدمين وعناوين البريد الإلكتروني ومعلومات الاتصال وعناوين IP وتفاعلاتهم مع دعم عملاء Discord. لحسن الحظ، لم يتم الوصول إلى معلومات بطاقة الائتمان الكاملة أو كلمات المرور. ومع ذلك، لا يزال النطاق محل نزاع: مجموعة الجرائم الإلكترونية التي تتحمل المسؤولية، Scattered LAPSUS$ Hunters، تدعي أنها سرقت 1.5 تيرابايت من البيانات من 5.5 مليون مستخدم، بما في ذلك أكثر من 2.1 مليون صورة هوية. ومع ذلك، تؤكد Discord أن الرقم أقرب إلى 70,000 مستخدم متأثر على مستوى العالم.

كيف يعمل التحقق من العمر على Discord

طريقة الهوية بالصورة للاستئنافات

تطلب Discord التحقق من العمر عندما يتم حظر المستخدم بسبب كونه قاصرًا أو عند الوصول إلى خوادم مقيدة بالعمر. يمكن للمستخدمين تقديم صورة لأنفسهم وهم يحملون وثيقة هوية حكومية (تظهر تاريخ الميلاد) وورقة مكتوب عليها اسم المستخدم في Discord. يتم إرسال هذه الصورة الواحدة إلى فريق الثقة والسلامة في Discord عبر نموذج دعم. تُستخدم المعلومات المقدمة فقط للتحقق من العمر وليس لأي غرض آخر.

التحقق التلقائي من العمر عبر k-ID

في مناطق محددة، تتعاون Discord مع k-ID لإجراء فحص تلقائي للعمر. يلتقط المستخدمون صورة سيلفي فيديو، تتم معالجتها على أجهزتهم ويتم حذفها فورًا بعد تقدير العمر. تدعي Discord أنه لا هي ولا k-ID تخزنان مسحات الوجه. إذا فشل الفحص التلقائي، يجب على المستخدمين اللجوء إلى طريقة الهوية بالصورة.

لماذا حدث هذا الاختراق: مشكلات الاحتفاظ بالبيانات

وفقًا للمصادر، حدث الاختراق لأن Discord لم تحذف صور هوية المستخدمين فورًا بعد التحقق. على عكس نظام k-ID - الذي يعالج صور السيلفي على الجهاز ويحذفها فورًا - احتفظ نظام دعم Discord بصور الهوية لأشهر. سمحت نافذة الاحتفاظ هذه للمتسللين بالوصول إلى البيانات وسرقتها. يُقال إن المخترق تمكن من الوصول إلى بوابة دعم Discord، وليس نظام k-ID، مما يسلط الضوء على ثغرة حرجة في ممارسات معالجة البيانات.

الآثار المترتبة على خصوصية المستخدم والتحقق المستقبلي

تؤكد هذه الحادثة المخاطر الكامنة في التخزين المركزي للبيانات البيومترية الحساسة. بينما توسع Discord نطاق التحقق من العمر عالميًا - مدفوعة بلوائح مثل قانون التحقق من العمر في المملكة المتحدة - فإن الاختراق يمثل قصة تحذيرية. بينما تقلل عمليات التحقق التلقائي من العمر باستخدام المعالجة على الجهاز من المخاطر، تظل طريقة الاستئناف بالهوية بالصورة عرضة للخطر. يجب على المستخدمين الثقة في أن بياناتهم سيتم حذفها فورًا، وهي ثقة تم خرقها. في المستقبل، يجب على Discord والمنصات الأخرى اعتماد سياسات أكثر صرامة لتقليل البيانات والاحتفاظ بها لمنع حالات التعرض المماثلة.

ما يجب على مستخدمي Discord فعله الآن

تتواصل Discord مع المستخدمين المتأثرين عبر البريد الإلكتروني من noreply@discord.com. إذا تلقيت مثل هذا البريد الإلكتروني، تحقق من صحته واتبع التعليمات. تجنب تقديم تذاكر مكررة أو مشاركة صورة هويتك خارج القنوات الرسمية. بالنسبة لأولئك القلقين بشأن الاختراقات المستقبلية، فكر في استخدام هويات يمكن التخلص منها أو محدودة الغرض، وراقب حساباتك بحثًا عن أي نشاط مشبوه. تسلط الحادثة الضوء على الحاجة إلى تشريعات أقوى حول الاحتفاظ بالبيانات وأمن البائعين الخارجيين.