Iamprovider

บริษัทตรวจสอบอายุถูกแฮก อาจเปิดเผยรูปบัตรประชาชนของผู้ใช้ Discord 70,000 ราย

บริษัทตรวจสอบอายุถูกแฮก อาจเปิดเผยรูปบัตรประชาชนของผู้ใช้ Discord 70,000 ราย

รายละเอียดการละเมิด: เกิดอะไรขึ้นและเมื่อไหร่

เมื่อวันที่ 3 ตุลาคม 2025 Discord เปิดเผยว่าผู้ไม่หวังดีสามารถเข้าถึงผู้ให้บริการฝ่ายสนับสนุนลูกค้าภายนอก 5CA ได้ การละเมิดซึ่งเริ่มต้นประมาณวันที่ 20 กันยายน ทำให้บัญชีของเจ้าหน้าที่สนับสนุนถูกบุกรุก ทำให้แฮกเกอร์เข้าถึงข้อมูลผู้ใช้ Discord ได้ประมาณ 58 ชั่วโมง ผู้โจมตีถูกกล่าวหาว่าขโมยรูปภาพบัตรประจำตัวที่ออกโดยหน่วยงานรัฐอย่างน้อย 70,000 รูป เช่น หนังสือเดินทางหรือใบขับขี่ ที่ผู้ใช้ส่งมาเพื่อตรวจสอบอายุ นอกจากนี้ ผู้กระทำยังพยายามเรียกค่าไถ่จากบริษัทที่ได้รับผลกระทบอีกด้วย

ข้อมูลใดบ้างที่ถูกเปิดเผย?

นอกจากรูปบัตรประจำตัวแล้ว การละเมิดนี้อาจเปิดเผยชื่อ ที่อยู่อีเมล ข้อมูลติดต่อ ที่อยู่ IP และการโต้ตอบกับฝ่ายสนับสนุนของ Discord ได้ โชคดีที่ข้อมูลบัตรเครดิตหรือรหัสผ่านทั้งหมดไม่ถูกเข้าถึง อย่างไรก็ตาม ขอบเขตยังคงเป็นที่ถกเถียง: กลุ่มอาชญากรรมไซเบอร์ที่อ้างความรับผิดชอบ Scattered LAPSUS$ Hunters ยืนยันว่าพวกเขาขโมยข้อมูล 1.5 เทราไบต์จากผู้ใช้ 5.5 ล้านคน รวมถึงรูปบัตรประจำตัวมากกว่า 2.1 ล้านรูป แต่ Discord ยืนยันว่าตัวเลขดังกล่าวใกล้เคียงกับผู้ใช้ที่ได้รับผลกระทบ 70,000 รายทั่วโลก

การตรวจสอบอายุบน Discord ทำงานอย่างไร

วิธีใช้รูปบัตรประจำตัวสำหรับอุทธรณ์

Discord กำหนดให้ตรวจสอบอายุเมื่อผู้ใช้ถูกล็อกเนื่องจากอายุต่ำกว่าเกณฑ์หรือเมื่อเข้าถึงเซิร์ฟเวอร์ที่จำกัดอายุ ผู้ใช้สามารถส่งรูปถ่ายตนเองถือบัตรประจำตัวที่ออกโดยหน่วยงานรัฐ (แสดงวันเกิด) และกระดาษที่มีชื่อผู้ใช้ Discord รูปเดียวนี้จะถูกส่งไปยังทีม Trust & Safety ของ Discord ผ่านแบบฟอร์มสนับสนุน ข้อมูลที่ให้ใช้เพื่อการตรวจสอบอายุเท่านั้นและไม่ใช้เพื่อวัตถุประสงค์อื่น

การตรวจสอบอายุอัตโนมัติผ่าน k-ID

ในบางภูมิภาค Discord ร่วมมือกับ k-ID สำหรับการตรวจสอบอายุอัตโนมัติ ผู้ใช้ถ่ายเซลฟี่วิดีโอ ซึ่งจะถูกประมวลผลบนอุปกรณ์และลบทันทีหลังจากประมาณอายุ Discord อ้างว่าทั้ง Discord และ k-ID ไม่ได้จัดเก็บภาพสแกนใบหน้า หากการตรวจสอบอัตโนมัติล้มเหลว ผู้ใช้ต้องใช้วิธีรูปบัตรประจำตัว

สาเหตุของการละเมิดนี้: ปัญหาการเก็บรักษาข้อมูล

ตามแหล่งข่าว การละเมิดเกิดขึ้นเพราะ Discord ไม่ได้ลบรูปบัตรประจำตัวผู้ใช้ทันทีหลังการตรวจสอบ ต่างจากระบบของ k-ID ซึ่งประมวลผลเซลฟี่บนอุปกรณ์และลบทันที ระบบสนับสนุนของ Discord เก็บรูปบัตรประจำตัวไว้นานหลายเดือน ช่องว่างการเก็บรักษานี้ทำให้แฮกเกอร์เข้าถึงและขโมยข้อมูลได้ แฮกเกอร์รายงานว่าเข้าถึงพอร์ทัลสนับสนุนของ Discord ไม่ใช่ระบบ k-ID ซึ่งเน้นย้ำถึงช่องโหว่ที่สำคัญในแนวทางการจัดการข้อมูล

ผลกระทบต่อความเป็นส่วนตัวของผู้ใช้และการตรวจสอบในอนาคต

เหตุการณ์นี้เน้นย้ำถึงความเสี่ยงของการจัดเก็บข้อมูลชีวมิติที่ละเอียดอ่อนแบบรวมศูนย์ ในขณะที่ Discord ขยายการตรวจสอบอายุทั่วโลก ซึ่งขับเคลื่อนโดยกฎระเบียบเช่นกฎหมายตรวจสอบอายุของสหราชอาณาจักร การละเมิดนี้เป็นบทเรียนเตือนใจ แม้ว่าการตรวจสอบอายุอัตโนมัติที่ใช้การประมวลผลบนอุปกรณ์จะลดความเสี่ยง แต่วิธีอุทธรณ์ด้วยรูปบัตรประจำตัวยังคงเสี่ยง ผู้ใช้ต้องไว้วางใจว่าข้อมูลของตนจะถูกลบทันที ซึ่งความไว้วางใจนี้ได้ถูกทำลายลงแล้ว ต่อไป Discord และแพลตฟอร์มอื่น ๆ ต้องนำนโยบายการลดและเก็บรักษาข้อมูลที่เข้มงวดยิ่งขึ้นมาใช้เพื่อป้องกันการเปิดเผยที่คล้ายกัน

สิ่งที่ผู้ใช้ Discord ควรทำตอนนี้

Discord กำลังติดต่อผู้ใช้ที่ได้รับผลกระทบทางอีเมลจาก noreply@discord.com หากคุณได้รับอีเมลดังกล่าว ให้ตรวจสอบความถูกต้องและปฏิบัติตามคำแนะนำ หลีกเลี่ยงการส่งตั๋วซ้ำหรือแชร์รูปบัตรประจำตัวของคุณนอกช่องทางอย่างเป็นทางการ สำหรับผู้ที่กังวลเกี่ยวกับการละเมิดในอนาคต ให้พิจารณาใช้บัตรประจำตัวแบบใช้ครั้งเดียวหรือมีวัตถุประสงค์จำกัด และตรวจสอบบัญชีของคุณเพื่อหากิจกรรมที่น่าสงสัย เหตุการณ์นี้เน้นย้ำถึงความจำเป็นของกฎหมายที่เข้มงวดขึ้นเกี่ยวกับการเก็บรักษาข้อมูลและความปลอดภัยของผู้ให้บริการภายนอก