Discord: Atacantes acessaram cerca de 70.000 fotos de identificação de usuários
Violação de Fornecedor Terceirizado Expõe Dados de Usuários
O Discord divulgou recentemente que uma parte não autorizada comprometeu um de seus provedores de atendimento ao cliente terceirizados, a 5CA, levando à exposição de aproximadamente 70.000 fotos de identificação governamental de usuários. A violação, ocorrida em 20 de setembro de 2025, teve como alvo um fornecedor usado para verificação de idade e recursos de suporte. O Discord foi rápido em esclarecer que sua própria plataforma não foi invadida—o ataque focou no provedor terceirizado. Imediatamente após descobrir o incidente, o Discord revogou o acesso do fornecedor ao seu sistema de tickets, iniciou uma investigação interna e acionou as autoridades. A empresa está em processo de envio de e-mails aos usuários afetados, com comunicações oficiais vindo apenas de noreply@discord.com.
Quais Dados Foram Acessados?
Os dados expostos são limitados às informações tratadas pelo sistema de atendimento ao cliente. Isso inclui nomes, nomes de usuário do Discord, endereços de e-mail e outros detalhes de contato fornecidos às equipes de suporte. Além disso, informações limitadas de faturamento—como tipo de pagamento, últimos quatro dígitos de números de cartão de crédito e histórico de compras—podem ter sido acessadas. Endereços IP e conteúdo de mensagens trocadas com agentes de atendimento também foram expostos. Mais criticamente, um pequeno número de imagens de identificação governamental, como carteiras de motorista e passaportes, foi comprometido. O Discord enfatizou que nenhum número completo de cartão de crédito, códigos CVV, senhas ou atividade do usuário além de interações de suporte foi envolvido.
Impacto nos Usuários e Verificação de Idade
Os usuários afetados incluem principalmente aqueles que entraram em contato com o Suporte ao Cliente ou as equipes de Confiança e Segurança do Discord, especialmente para recursos relacionados à idade. Para cumprir as regulamentações, o Discord exige que os usuários verifiquem sua idade enviando documentos de identificação emitidos pelo governo. Esse processo, terceirizado para fornecedores como a 5CA, criou o vetor para a violação. O atacante obteve acesso a fotos de identificação de cerca de 70.000 usuários, que contêm informações pessoais sensíveis, como nomes completos, datas de nascimento e endereços físicos. Isso levanta preocupações significativas de privacidade, pois os dados vazados podem ser usados para roubo de identidade ou perseguição. O Discord especificou que os usuários afetados receberão um e-mail detalhando se sua identificação foi acessada.
Resposta do Discord e Medidas de Segurança
O Discord agiu rapidamente revogando o acesso do provedor terceirizado, contratando uma empresa líder em perícia forense de computadores e notificando as autoridades de proteção de dados relevantes. A empresa está trabalhando em estreita colaboração com as autoridades para investigar o ataque, que envolveu uma exigência de resgate. O Discord afirmou que não pagará o resgate, classificando-o como um ato ilegal. No futuro, o Discord planeja auditar seus sistemas terceirizados com mais frequência para garantir que atendam aos padrões de segurança e privacidade. A empresa também recomenda que todos os usuários permaneçam vigilantes contra mensagens ou comunicações suspeitas que possam fazer parte de tentativas de phishing relacionadas à violação.
Canais de Comunicação Oficiais
O Discord alertou que entrará em contato com os usuários afetados apenas por e-mail de noreply@discord.com. Os usuários devem ter cuidado com ligações telefônicas ou e-mails de outros endereços alegando ser sobre a violação. A empresa não divulgou a identidade do fornecedor comprometido, mas relatórios confirmam que era a 5CA, uma empresa de atendimento ao cliente sediada no Reino Unido. Outros provedores terceirizados, como a Zendesk, afirmaram que seus sistemas não estavam envolvidos.
Reações da Comunidade e de Especialistas
A violação gerou ampla discussão entre os 200 milhões de usuários do Discord, com muitos expressando preocupação com o manuseio de dados sensíveis de identificação. Alguns comentaristas online sugeriram que a violação pode ser mais extensa do que o divulgado, mas o Discord refuta essas alegações, atribuindo-as a tentativas de extorsão. Especialistas em segurança observam que este incidente destaca os riscos de terceirizar a verificação de idade para terceiros. O vazamento de mais de 100 imagens de identificação em um canal do Telegram, supostamente da violação, ressalta os perigos reais da exposição de identidade. Usuários que enviaram identificações para DMCA ou verificação de idade são particularmente vulneráveis, pois seus endereços físicos podem agora estar em risco.
O que os Usuários Devem Fazer Agora
Se você receber um e-mail do Discord sobre este incidente, revise os detalhes com cuidado. Altere sua senha do Discord e ative a autenticação de dois fatores se ainda não o fez. Monitore suas contas financeiras em busca de atividades suspeitas, especialmente se você tiver informações de faturamento vinculadas ao Discord. Tenha cuidado extra com tentativas de phishing que possam fazer referência à violação. Para aqueles cujas fotos de identificação foram expostas, considere colocar um alerta de fraude em seu arquivo de crédito e denuncie qualquer roubo de identidade às autoridades relevantes. O Discord continua cooperando com as autoridades, mas a vigilância individual é fundamental para mitigar possíveis danos.