Iamprovider

Naruszenie zabezpieczeń firmy weryfikującej wiek mogło ujawnić zdjęcia dokumentów tożsamości 70 000 użytkowników Discorda

Naruszenie zabezpieczeń firmy weryfikującej wiek mogło ujawnić zdjęcia dokumentów tożsamości 70 000 użytkowników Discorda

Szczegóły naruszenia: Co się stało i kiedy

3 października 2025 roku Discord poinformował, że nieupoważniony podmiot uzyskał dostęp do jednego z jego zewnętrznych dostawców obsługi klienta, 5CA. Naruszenie, które rozpoczęło się około 20 września, dotyczyło konta agenta wsparcia, dając hakerom dostęp do danych użytkowników Discorda na około 58 godzin. Sprawca(-y) rzekomo ukradł co najmniej 70 000 zdjęć dokumentów tożsamości wydanych przez rząd – takich jak paszporty lub prawa jazdy – przesłanych przez użytkowników w celu weryfikacji wieku. Sprawca podobno próbuje również wymusić okup od dotkniętej firmy.

Jakie dane zostały ujawnione?

Oprócz zdjęć dokumentów tożsamości, naruszenie mogło ujawnić imiona i nazwiska użytkowników, adresy e-mail, dane kontaktowe, adresy IP oraz interakcje z pomocą techniczną Discorda. Na szczęście pełne dane kart kredytowych ani hasła nie zostały udostępnione. Jednak zakres pozostaje sporny: grupa cyberprzestępcza, która przyznała się do odpowiedzialności, Scattered LAPSUS$ Hunters, twierdzi, że ukradła 1,5 terabajta danych od 5,5 miliona użytkowników, w tym ponad 2,1 miliona zdjęć dokumentów tożsamości. Discord utrzymuje jednak, że liczba ta jest bliższa 70 000 dotkniętych użytkowników na całym świecie.

Jak działa weryfikacja wieku na Discordzie

Metoda zdjęcia dokumentu tożsamości w przypadku odwołań

Discord wymaga weryfikacji wieku, gdy użytkownik zostaje zablokowany z powodu bycia niepełnoletnim lub gdy uzyskuje dostęp do serwerów z ograniczeniami wiekowymi. Użytkownicy mogą przesłać zdjęcie siebie trzymających zarówno dokument tożsamości wydany przez rząd (pokazujący datę urodzenia), jak i kartkę z nazwą użytkownika na Discordzie. To pojedyncze zdjęcie jest wysyłane do zespołu Trust & Safety Discorda za pośrednictwem formularza wsparcia. Podane informacje są wykorzystywane wyłącznie do weryfikacji wieku i nie służą żadnemu innemu celowi.

Automatyczna kontrola wieku przez k-ID

W wybranych regionach Discord współpracuje z k-ID w celu automatycznej kontroli wieku. Użytkownicy nagrywają wideo selfie, które jest przetwarzane na ich urządzeniu i natychmiast usuwane po oszacowaniu wieku. Discord twierdzi, że ani on, ani k-ID nie przechowują skanów twarzy. Jeśli automatyczna kontrola się nie powiedzie, użytkownicy muszą skorzystać z metody zdjęcia dokumentu tożsamości.

Dlaczego doszło do naruszenia: Problemy z przechowywaniem danych

Według źródeł, naruszenie nastąpiło, ponieważ Discord nie usuwał zdjęć dokumentów tożsamości użytkowników natychmiast po weryfikacji. W przeciwieństwie do systemu k-ID – który przetwarza selfie na urządzeniu i usuwa je natychmiast – system wsparcia Discorda przechowywał zdjęcia dokumentów przez miesiące. To okno przechowywania pozwoliło hakerom uzyskać dostęp do danych i je wyeksfiltrować. Haker rzekomo uzyskał dostęp do portalu wsparcia Discorda, a nie systemu k-ID, co podkreśla krytyczną lukę w praktykach przetwarzania danych.

Konsekwencje dla prywatności użytkowników i przyszłej weryfikacji

Ten incydent podkreśla ryzyko związane z centralnym przechowywaniem wrażliwych danych biometrycznych. W miarę jak Discord rozszerza swoją weryfikację wieku na całym świecie – napędzaną przepisami takimi jak brytyjskie prawo dotyczące weryfikacji wieku – naruszenie to stanowi przestrogę. Podczas gdy automatyczne kontrole wieku z wykorzystaniem przetwarzania na urządzeniu zmniejszają ryzyko, metoda odwoławcza ze zdjęciem dokumentu pozostaje podatna na ataki. Użytkownicy muszą ufać, że ich dane zostaną niezwłocznie usunięte, a to zaufanie zostało naruszone. W przyszłości Discord i inne platformy muszą przyjąć bardziej rygorystyczne zasady minimalizacji i przechowywania danych, aby zapobiec podobnym wyciekom.

Co użytkownicy Discorda powinni teraz zrobić

Discord kontaktuje się z dotkniętymi użytkownikami za pośrednictwem e-maila z adresu noreply@discord.com. Jeśli otrzymasz taki e-mail, zweryfikuj jego autentyczność i postępuj zgodnie z instrukcjami. Unikaj przesyłania duplikatów zgłoszeń lub udostępniania zdjęcia dokumentu tożsamości poza oficjalnymi kanałami. Osobom zaniepokojonym przyszłymi naruszeniami zaleca się korzystanie z jednorazowych lub ograniczonych celowo dokumentów tożsamości oraz monitorowanie swoich kont pod kątem podejrzanej aktywności. Incydent podkreśla potrzebę silniejszych przepisów dotyczących przechowywania danych i bezpieczeństwa zewnętrznych dostawców.