Peretasan Perusahaan Verifikasi Usia Mungkin Telah Mengekspos Foto ID 70.000 Pengguna Discord
Detail Pelanggaran: Apa yang Terjadi dan Kapan
Pada 3 Oktober 2025, Discord mengungkapkan bahwa entitas tidak sah mendapatkan akses ke salah satu penyedia layanan pelanggan pihak ketiganya, 5CA. Pelanggaran yang dimulai sekitar 20 September ini membahayakan akun agen dukungan, memberi peretas akses ke data pengguna Discord selama sekitar 58 jam. Pelaku diduga mencuri setidaknya 70.000 gambar ID yang dikeluarkan pemerintah—seperti paspor atau SIM—yang diajukan pengguna untuk verifikasi usia. Pelaku juga dilaporkan mencoba memeras tebusan dari perusahaan yang terkena dampak.
Data Apa yang Diekspos?
Selain foto ID, pelanggaran ini mungkin telah mengekspos nama pengguna, alamat email, informasi kontak, alamat IP, dan interaksi dengan dukungan pelanggan Discord. Untungnya, informasi kartu kredit atau kata sandi lengkap tidak diakses. Namun, cakupannya masih diperdebatkan: kelompok kejahatan siber yang mengaku bertanggung jawab, Scattered LAPSUS$ Hunters, menyatakan mereka mencuri 1,5 terabyte data dari 5,5 juta pengguna, termasuk lebih dari 2,1 juta foto ID. Discord, bagaimanapun, menyatakan bahwa angkanya mendekati 70.000 pengguna yang terkena dampak secara global.
Cara Verifikasi Usia Bekerja di Discord
Metode Foto ID untuk Banding
Discord memerlukan verifikasi usia ketika pengguna terkunci karena di bawah umur atau saat mengakses server yang dibatasi usia. Pengguna dapat mengirimkan foto diri mereka yang memegang ID yang dikeluarkan pemerintah (menunjukkan tanggal lahir) dan selembar kertas dengan nama pengguna Discord mereka. Foto tunggal ini dikirim ke Tim Trust & Safety Discord melalui formulir dukungan. Informasi yang diberikan digunakan semata-mata untuk verifikasi usia dan bukan untuk tujuan lain.
Pemeriksaan Usia Otomatis melalui k-ID
Di wilayah tertentu, Discord bermitra dengan k-ID untuk pemeriksaan usia otomatis. Pengguna mengambil video selfie, yang diproses di perangkat mereka dan segera dihapus setelah estimasi usia. Discord mengklaim baik mereka maupun k-ID tidak menyimpan pemindaian wajah. Jika pemeriksaan otomatis gagal, pengguna harus menggunakan metode foto ID.
Mengapa Pelanggaran Ini Terjadi: Masalah Retensi Data
Menurut sumber, pelanggaran terjadi karena Discord tidak menghapus foto ID pengguna segera setelah verifikasi. Tidak seperti sistem k-ID—yang memproses selfie di perangkat dan menghapusnya segera—sistem dukungan Discord menyimpan gambar ID selama berbulan-bulan. Jendela retensi ini memungkinkan peretas mengakses dan mengeksfiltrasi data. Peretas dilaporkan mendapatkan akses ke portal dukungan Discord, bukan sistem k-ID, menyoroti kerentanan kritis dalam praktik penanganan data.
Implikasi bagi Privasi Pengguna dan Verifikasi Masa Depan
Insiden ini menggarisbawahi risiko yang melekat dalam penyimpanan terpusat data biometrik sensitif. Saat Discord memperluas verifikasi usianya secara global—didorong oleh regulasi seperti undang-undang verifikasi usia Inggris—pelanggaran ini menjadi kisah peringatan. Sementara pemeriksaan usia otomatis menggunakan pemrosesan di perangkat mengurangi risiko, metode banding foto ID tetap rentan. Pengguna harus percaya bahwa data mereka akan segera dihapus, kepercayaan yang telah dilanggar. Ke depannya, Discord dan platform lain harus mengadopsi kebijakan minimalisasi dan retensi data yang lebih ketat untuk mencegah paparan serupa.
Apa yang Harus Dilakukan Pengguna Discord Sekarang
Discord menghubungi pengguna yang terkena dampak melalui email dari noreply@discord.com. Jika Anda menerima email seperti itu, verifikasi keasliannya dan ikuti instruksi. Hindari mengirimkan tiket duplikat atau membagikan foto ID Anda di luar saluran resmi. Bagi mereka yang khawatir tentang pelanggaran di masa depan, pertimbangkan untuk menggunakan ID sekali pakai atau terbatas, dan pantau akun Anda untuk aktivitas mencurigakan. Insiden ini menyoroti perlunya undang-undang yang lebih kuat tentang retensi data dan keamanan vendor pihak ketiga.