Iamprovider

Falha em empresa de verificação de idade pode ter exposto fotos de identidade de 70.000 usuários do Discord

Falha em empresa de verificação de idade pode ter exposto fotos de identidade de 70.000 usuários do Discord

Detalhes da Violação: O Que Aconteceu e Quando

Em 3 de outubro de 2025, o Discord divulgou que uma entidade não autorizada obteve acesso a um de seus provedores de serviços de atendimento ao cliente terceirizados, a 5CA. A violação, que começou por volta de 20 de setembro, comprometeu a conta de um agente de suporte, dando aos hackers acesso aos dados dos usuários do Discord por aproximadamente 58 horas. O(s) atacante(s) supostamente roubou pelo menos 70.000 imagens de documentos de identidade emitidos pelo governo—como passaportes ou carteiras de motorista—enviadas por usuários para verificação de idade. O perpetrador também estaria tentando extorquir um resgate da empresa afetada.

Quais Dados Foram Expostos?

Além das fotos de identidade, a violação pode ter exposto nomes, endereços de e-mail, informações de contato, endereços IP e interações dos usuários com o suporte ao cliente do Discord. Felizmente, informações completas de cartão de crédito ou senhas não foram acessadas. No entanto, o escopo permanece contestado: o grupo de cibercrime que reivindica a responsabilidade, Scattered LAPSUS$ Hunters, afirma ter roubado 1,5 terabytes de dados de 5,5 milhões de usuários, incluindo mais de 2,1 milhões de fotos de identidade. O Discord, no entanto, mantém que o número é mais próximo de 70.000 usuários afetados globalmente.

Como Funciona a Verificação de Idade no Discord

Método de Foto de Identidade para Recursos

O Discord exige verificação de idade quando um usuário é bloqueado por ser menor de idade ou ao acessar servidores com restrição de idade. Os usuários podem enviar uma foto de si mesmos segurando um documento de identidade emitido pelo governo (mostrando a data de nascimento) e um papel com seu nome de usuário do Discord. Esta única foto é enviada para a equipe de Confiança e Segurança do Discord através de um formulário de suporte. As informações fornecidas são usadas exclusivamente para verificação de idade e não para qualquer outro fim.

Verificação Automática de Idade via k-ID

Em regiões selecionadas, o Discord faz parceria com a k-ID para uma verificação automática de idade. Os usuários gravam uma selfie em vídeo, que é processada em seu dispositivo e imediatamente excluída após a estimativa de idade. O Discord afirma que nem eles nem a k-ID armazenam digitalizações faciais. Se a verificação automática falhar, os usuários devem recorrer ao método de foto de identidade.

Por Que Essa Violação Aconteceu: Problemas de Retenção de Dados

De acordo com fontes, a violação ocorreu porque o Discord não excluiu as fotos de identidade dos usuários imediatamente após a verificação. Ao contrário do sistema da k-ID—que processa selfies no dispositivo e as exclui imediatamente—o sistema de suporte do Discord reteve as imagens de identidade por meses. Essa janela de retenção permitiu que hackers acessassem e exfiltrassem os dados. O hacker supostamente obteve acesso ao portal de suporte do Discord, não ao sistema k-ID, destacando uma vulnerabilidade crítica nas práticas de tratamento de dados.

Implicações para a Privacidade do Usuário e Verificação Futura

Este incidente ressalta os riscos inerentes ao armazenamento centralizado de dados biométricos sensíveis. À medida que o Discord expande sua verificação de idade globalmente—impulsionado por regulamentações como a lei de verificação de idade do Reino Unido—a violação serve como um conto de advertência. Embora as verificações automáticas de idade usando processamento no dispositivo reduzam o risco, o método de recurso de foto de identidade permanece vulnerável. Os usuários devem confiar que seus dados serão excluídos prontamente, uma confiança que foi quebrada. No futuro, o Discord e outras plataformas devem adotar políticas mais rigorosas de minimização e retenção de dados para evitar exposições semelhantes.

O Que os Usuários do Discord Devem Fazer Agora

O Discord está contatando os usuários impactados por e-mail de noreply@discord.com. Se você receber tal e-mail, verifique sua autenticidade e siga as instruções. Evite enviar tickets duplicados ou compartilhar sua foto de identidade fora dos canais oficiais. Para aqueles preocupados com futuras violações, considere usar identidades descartáveis ou de propósito limitado, e monitore suas contas em busca de atividades suspeitas. O incidente destaca a necessidade de legislação mais forte em torno da retenção de dados e segurança de fornecedores terceirizados.