Iamprovider

Взлом компании по проверке возраста мог раскрыть фото удостоверений 70 000 пользователей Discord

Взлом компании по проверке возраста мог раскрыть фото удостоверений 70 000 пользователей Discord

Детали утечки: что произошло и когда

3 октября 2025 года Discord сообщил, что несанкционированное лицо получило доступ к одному из его сторонних поставщиков услуг поддержки, 5CA. Утечка, начавшаяся около 20 сентября, скомпрометировала аккаунт агента поддержки, предоставив хакерам доступ к данным пользователей Discord примерно на 58 часов. Злоумышленник(и) предположительно похитил(и) не менее 70 000 изображений государственных удостоверений личности — таких как паспорта или водительские права — предоставленных пользователями для проверки возраста. Сообщается также, что злоумышленник пытается вымогать выкуп у пострадавшей компании.

Какие данные были раскрыты?

Помимо фото удостоверений, утечка могла раскрыть имена пользователей, адреса электронной почты, контактную информацию, IP-адреса и взаимодействия со службой поддержки Discord. К счастью, полные данные кредитных карт или пароли не были получены. Однако масштаб остается спорным: группа киберпреступников, взявшая на себя ответственность, Scattered LAPSUS$ Hunters, утверждает, что они похитили 1,5 терабайта данных 5,5 миллионов пользователей, включая более 2,1 миллиона фото удостоверений. Discord, в свою очередь, утверждает, что цифра ближе к 70 000 пострадавших пользователей по всему миру.

Как работает проверка возраста в Discord

Метод фото удостоверения для апелляций

Discord требует проверку возраста, когда пользователь заблокирован из-за несовершеннолетия или при доступе к серверам с возрастными ограничениями. Пользователи могут отправить фото себя, держащего государственное удостоверение личности (с указанием даты рождения) и бумагу с именем пользователя Discord. Это единственное фото отправляется команде Trust & Safety Discord через форму поддержки. Предоставленная информация используется исключительно для проверки возраста и ни для каких других целей.

Автоматическая проверка возраста через k-ID

В отдельных регионах Discord сотрудничает с k-ID для автоматической проверки возраста. Пользователи делают видео селфи, которое обрабатывается на их устройстве и немедленно удаляется после оценки возраста. Discord утверждает, что ни они, ни k-ID не хранят сканы лиц. Если автоматическая проверка не удается, пользователи должны прибегнуть к методу фото удостоверения.

Почему произошла эта утечка: проблемы с хранением данных

Согласно источникам, утечка произошла из-за того, что Discord не удалял фото удостоверений пользователей сразу после проверки. В отличие от системы k-ID, которая обрабатывает селфи на устройстве и удаляет их немедленно, система поддержки Discord хранила изображения удостоверений в течение месяцев. Это окно хранения позволило хакерам получить доступ и выгрузить данные. Сообщается, что хакер получил доступ к порталу поддержки Discord, а не к системе k-ID, что подчеркивает критическую уязвимость в практике обработки данных.

Последствия для конфиденциальности пользователей и будущей проверки

Этот инцидент подчеркивает риски, связанные с централизованным хранением конфиденциальных биометрических данных. По мере того как Discord расширяет проверку возраста по всему миру — под влиянием таких нормативных актов, как закон Великобритании о проверке возраста, — утечка служит предостережением. Хотя автоматические проверки возраста с обработкой на устройстве снижают риск, метод апелляции с фото удостоверения остается уязвимым. Пользователи должны доверять, что их данные будут немедленно удалены, и это доверие было нарушено. В будущем Discord и другие платформы должны принять более строгие политики минимизации и хранения данных, чтобы предотвратить подобные утечки.

Что делать пользователям Discord сейчас

Discord связывается с пострадавшими пользователями по электронной почте с адреса noreply@discord.com. Если вы получили такое письмо, проверьте его подлинность и следуйте инструкциям. Избегайте отправки дублирующих тикетов или передачи фото удостоверения вне официальных каналов. Тем, кто обеспокоен будущими утечками, рекомендуется использовать одноразовые или ограниченные по назначению удостоверения, а также отслеживать свои аккаунты на предмет подозрительной активности. Инцидент подчеркивает необходимость более строгого законодательства в отношении хранения данных и безопасности сторонних поставщиков.