Iamprovider

Sicherheitslücke bei Altersverifizierungsfirma könnte ID-Fotos von 70.000 Discord-Nutzern offengelegt haben

Sicherheitslücke bei Altersverifizierungsfirma könnte ID-Fotos von 70.000 Discord-Nutzern offengelegt haben

Details zum Vorfall: Was passiert ist und wann

Am 3. Oktober 2025 gab Discord bekannt, dass ein unbefugter Dritter Zugriff auf einen seiner Kundendienst-Drittanbieter, 5CA, erlangt hatte. Der Vorfall, der etwa am 20. September begann, kompromittierte das Konto eines Support-Mitarbeiters und gab Hackern etwa 58 Stunden lang Zugriff auf Discord-Nutzerdaten. Der oder die Angreifer sollen mindestens 70.000 Bilder von amtlichen Ausweisen – wie Reisepässen oder Führerscheinen – gestohlen haben, die von Nutzern zur Altersverifizierung eingereicht wurden. Der Täter versucht Berichten zufolge auch, Lösegeld von dem betroffenen Unternehmen zu erpressen.

Welche Daten wurden offengelegt?

Neben den ID-Fotos könnten durch den Vorfall auch Namen, E-Mail-Adressen, Kontaktdaten, IP-Adressen und Interaktionen mit dem Discord-Kundendienst offengelegt worden sein. Glücklicherweise wurden keine vollständigen Kreditkarteninformationen oder Passwörter abgerufen. Der Umfang bleibt jedoch umstritten: Die verantwortliche Cyberkriminalitätsgruppe Scattered LAPSUS$ Hunters behauptet, 1,5 Terabyte Daten von 5,5 Millionen Nutzern gestohlen zu haben, darunter über 2,1 Millionen ID-Fotos. Discord hingegen gibt an, dass weltweit etwa 70.000 Nutzer betroffen sind.

Wie die Altersverifizierung bei Discord funktioniert

Foto-ID-Methode für Einsprüche

Discord verlangt eine Altersverifizierung, wenn ein Nutzer aufgrund von Minderjährigkeit ausgesperrt wird oder auf altersbeschränkte Server zugreifen möchte. Nutzer können ein Foto von sich einreichen, auf dem sie einen amtlichen Ausweis (mit Geburtsdatum) und einen Zettel mit ihrem Discord-Benutzernamen halten. Dieses einzelne Foto wird über ein Support-Formular an das Trust & Safety-Team von Discord gesendet. Die bereitgestellten Informationen werden ausschließlich zur Altersverifizierung und für keinen anderen Zweck verwendet.

Automatische Altersprüfung über k-ID

In ausgewählten Regionen arbeitet Discord mit k-ID für eine automatische Altersprüfung zusammen. Nutzer machen ein Video-Selfie, das auf ihrem Gerät verarbeitet und nach der Altersschätzung sofort gelöscht wird. Discord behauptet, dass weder sie noch k-ID Gesichtsscans speichern. Schlägt die automatische Prüfung fehl, müssen Nutzer auf die Foto-ID-Methode zurückgreifen.

Warum es zu diesem Vorfall kam: Probleme bei der Datenspeicherung

Laut Quellen geschah der Vorfall, weil Discord Nutzer-ID-Fotos nach der Verifizierung nicht rechtzeitig löschte. Im Gegensatz zum System von k-ID – das Selfies auf dem Gerät verarbeitet und sofort löscht – behielt Discords Support-System ID-Bilder monatelang. Dieses Speicherfenster ermöglichte es Hackern, auf die Daten zuzugreifen und sie zu exfiltrieren. Der Hacker soll Zugriff auf das Support-Portal von Discord erlangt haben, nicht auf das k-ID-System, was eine kritische Schwachstelle in den Datenverarbeitungspraktiken aufzeigt.

Auswirkungen auf den Datenschutz der Nutzer und zukünftige Verifizierung

Dieser Vorfall unterstreicht die Risiken, die mit der zentralen Speicherung sensibler biometrischer Daten verbunden sind. Während Discord seine Altersverifizierung weltweit ausweitet – angetrieben durch Vorschriften wie das britische Altersverifizierungsgesetz – dient der Vorfall als warnendes Beispiel. Während automatische Altersprüfungen mit geräteinterner Verarbeitung das Risiko verringern, bleibt die Foto-ID-Einspruchsmethode anfällig. Nutzer müssen darauf vertrauen können, dass ihre Daten umgehend gelöscht werden – ein Vertrauen, das gebrochen wurde. In Zukunft müssen Discord und andere Plattformen strengere Richtlinien zur Datenminimierung und -aufbewahrung einführen, um ähnliche Vorfälle zu verhindern.

Was Discord-Nutzer jetzt tun sollten

Discord kontaktiert betroffene Nutzer per E-Mail von noreply@discord.com. Wenn Sie eine solche E-Mail erhalten, überprüfen Sie deren Echtheit und befolgen Sie die Anweisungen. Vermeiden Sie es, doppelte Tickets einzureichen oder Ihr ID-Foto außerhalb offizieller Kanäle zu teilen. Wer sich über zukünftige Vorfälle sorgt, sollte erwägen, Einweg- oder zweckgebundene IDs zu verwenden und seine Konten auf verdächtige Aktivitäten zu überwachen. Der Vorfall verdeutlicht die Notwendigkeit strengerer Gesetze zur Datenspeicherung und Sicherheit von Drittanbietern.