نقض امنیت شرکت تأیید سن ممکن است عکسهای شناسایی ۷۰۰۰۰ کاربر دیسکورد را افشا کرده باشد
جزئیات نقض: چه اتفاقی افتاد و چه زمانی
در ۳ اکتبر ۲۰۲۵، دیسکورد فاش کرد که یک نهاد غیرمجاز به یکی از ارائهدهندگان خدمات مشتری شخص ثالث آن، یعنی ۵CA، دسترسی پیدا کرده است. این نقض که حدود ۲۰ سپتامبر آغاز شد، حساب یک نماینده پشتیبانی را به خطر انداخت و به هکرها به مدت تقریباً ۵۸ ساعت به دادههای کاربران دیسکورد دسترسی داد. مهاجم(ها) ادعا میکنند حداقل ۷۰۰۰۰ تصویر از مدارک شناسایی دولتی - مانند گذرنامه یا گواهینامه رانندگی - که توسط کاربران برای تأیید سن ارسال شده بود، به سرقت بردهاند. همچنین گفته میشود که عامل این حادثه در تلاش است تا از شرکت آسیبدیده باجگیری کند.
چه دادههایی افشا شد؟
فراتر از عکسهای شناسایی، این نقض ممکن است نام کاربران، آدرسهای ایمیل، اطلاعات تماس، آدرسهای IP و تعاملات با پشتیبانی مشتری دیسکورد را افشا کرده باشد. خوشبختانه، اطلاعات کامل کارت اعتباری یا رمزهای عبور در دسترس قرار نگرفت. با این حال، دامنه آن مورد اختلاف است: گروه جرایم سایبری که مسئولیت را بر عهده گرفته، یعنی Scattered LAPSUS$ Hunters، ادعا میکند که ۱.۵ ترابایت داده از ۵.۵ میلیون کاربر، از جمله بیش از ۲.۱ میلیون عکس شناسایی، به سرقت برده است. با این حال، دیسکورد اعلام میکند که این رقم نزدیک به ۷۰۰۰۰ کاربر تحت تأثیر در سراسر جهان است.
تأیید سن در دیسکورد چگونه کار میکند
روش عکس شناسایی برای درخواستهای تجدیدنظر
دیسکورد زمانی که کاربر به دلیل زیر سن قانونی بودن قفل میشود یا هنگام دسترسی به سرورهای محدود شده بر اساس سن، نیاز به تأیید سن دارد. کاربران میتوانند عکسی از خود در حالی که هم یک مدرک شناسایی دولتی (نشاندهنده تاریخ تولد) و هم یک کاغذ با نام کاربری دیسکورد خود در دست دارند، ارسال کنند. این عکس تکی از طریق یک فرم پشتیبانی به تیم اعتماد و ایمنی دیسکورد ارسال میشود. اطلاعات ارائه شده صرفاً برای تأیید سن استفاده میشود و نه برای هیچ هدف دیگری.
بررسی سن خودکار از طریق k-ID
در مناطق منتخب، دیسکورد با k-ID برای بررسی سن خودکار همکاری میکند. کاربران یک سلفی ویدیویی میگیرند که در دستگاه آنها پردازش شده و بلافاصله پس از تخمین سن حذف میشود. دیسکورد ادعا میکند که نه آنها و نه k-ID اسکنهای صورت را ذخیره نمیکنند. اگر بررسی خودکار ناموفق باشد، کاربران باید به روش عکس شناسایی متوسل شوند.
چرا این نقض رخ داد: مسائل نگهداری داده
به گفته منابع، این نقض به این دلیل رخ داد که دیسکورد عکسهای شناسایی کاربران را بلافاصله پس از تأیید حذف نکرد. برخلاف سیستم k-ID که سلفیها را روی دستگاه پردازش کرده و بلافاصله حذف میکند، سیستم پشتیبانی دیسکورد تصاویر شناسایی را برای ماهها نگه میداشت. این پنجره نگهداری به هکرها اجازه دسترسی و خروج دادهها را داد. گفته میشود که هکر به پورتال پشتیبانی دیسکورد دسترسی پیدا کرده است، نه سیستم k-ID، که یک آسیبپذیری حیاتی در شیوههای مدیریت داده را برجسته میکند.
پیامدها برای حریم خصوصی کاربران و تأیید سن آینده
این حادثه بر خطرات ذاتی ذخیرهسازی متمرکز دادههای بیومتریک حساس تأکید میکند. با گسترش تأیید سن دیسکورد در سطح جهانی - که توسط مقرراتی مانند قانون تأیید سن بریتانیا هدایت میشود - این نقض به عنوان یک داستان هشداردهنده عمل میکند. در حالی که بررسیهای سن خودکار با استفاده از پردازش روی دستگاه خطر را کاهش میدهد، روش درخواست تجدیدنظر با عکس شناسایی همچنان آسیبپذیر است. کاربران باید اعتماد کنند که دادههای آنها به سرعت حذف میشود، اعتمادی که شکسته شده است. در آینده، دیسکورد و سایر پلتفرمها باید سیاستهای سختگیرانهتری برای حداقلسازی و نگهداری داده اتخاذ کنند تا از افشاهای مشابه جلوگیری شود.
کاربران دیسکورد اکنون چه باید بکنند
دیسکورد با کاربران آسیبدیده از طریق ایمیل از noreply@discord.com تماس میگیرد. اگر چنین ایمیلی دریافت کردید، صحت آن را تأیید کرده و دستورالعملها را دنبال کنید. از ارسال تیکتهای تکراری یا به اشتراک گذاشتن عکس شناسایی خود در خارج از کانالهای رسمی خودداری کنید. برای کسانی که نگران نقضهای آینده هستند، استفاده از مدارک شناسایی یکبار مصرف یا با هدف محدود را در نظر بگیرید و حسابهای خود را برای فعالیت مشکوک نظارت کنید. این حادثه نیاز به قوانین قویتر در مورد نگهداری داده و امنیت فروشندگان شخص ثالث را برجسته میکند.