Iamprovider

Yaş doğrulama şirketindeki ihlal, 70.000 Discord kullanıcısının kimlik fotoğraflarını ifşa etmiş olabilir

Yaş doğrulama şirketindeki ihlal, 70.000 Discord kullanıcısının kimlik fotoğraflarını ifşa etmiş olabilir

İhlal Detayları: Ne Oldu ve Ne Zaman

Discord, 3 Ekim 2025'te üçüncü taraf müşteri hizmetleri sağlayıcılarından biri olan 5CA'ya yetkisiz bir kuruluşun erişim sağladığını açıkladı. 20 Eylül civarında başlayan ihlal, bir destek temsilcisinin hesabının ele geçirilmesiyle hackerların yaklaşık 58 saat boyunca Discord kullanıcı verilerine erişmesine olanak tanıdı. Saldırgan(lar), yaş doğrulaması için kullanıcılar tarafından gönderilen en az 70.000 devlet tarafından verilmiş kimlik fotoğrafını (pasaport veya ehliyet gibi) çaldı. Failin ayrıca etkilenen şirketten fidye talep etmeye çalıştığı bildiriliyor.

Hangi Veriler İfşa Edildi?

Kimlik fotoğraflarının yanı sıra, ihlal kullanıcıların adlarını, e-posta adreslerini, iletişim bilgilerini, IP adreslerini ve Discord müşteri desteğiyle etkileşimlerini de ifşa etmiş olabilir. Neyse ki, tam kredi kartı bilgilerine veya şifrelere erişilmedi. Ancak kapsam tartışmalı: sorumluluğu üstlenen siber suç grubu Scattered LAPSUS$ Hunters, 5,5 milyon kullanıcıdan 2,1 milyondan fazla kimlik fotoğrafı da dahil olmak üzere 1,5 terabayt veri çaldıklarını iddia ediyor. Discord ise bu rakamın küresel çapta yaklaşık 70.000 etkilenen kullanıcı olduğunu belirtiyor.

Discord'da Yaş Doğrulaması Nasıl Çalışır

İtirazlar için Fotoğraflı Kimlik Yöntemi

Discord, bir kullanıcı reşit olmadığı için kilitlendiğinde veya yaş kısıtlamalı sunuculara erişirken yaş doğrulaması ister. Kullanıcılar, devlet tarafından verilmiş bir kimlik (doğum tarihini gösteren) ve Discord kullanıcı adlarının yazılı olduğu bir kağıtla birlikte kendilerinin bir fotoğrafını gönderebilir. Bu tek fotoğraf, bir destek formu aracılığıyla Discord'un Güven ve Güvenlik ekibine gönderilir. Sağlanan bilgiler yalnızca yaş doğrulaması için kullanılır ve başka bir amaçla kullanılmaz.

k-ID ile Otomatik Yaş Kontrolü

Belirli bölgelerde Discord, otomatik yaş kontrolü için k-ID ile ortaklık yapar. Kullanıcılar bir video özçekimi çeker, bu cihazlarında işlenir ve yaş tahmininden hemen sonra silinir. Discord, ne kendilerinin ne de k-ID'nin yüz taramalarını saklamadığını iddia ediyor. Otomatik kontrol başarısız olursa, kullanıcılar fotoğraflı kimlik yöntemine başvurmak zorundadır.

Bu İhlal Neden Oldu: Veri Saklama Sorunları

Kaynaklara göre ihlal, Discord'un kullanıcı kimlik fotoğraflarını doğrulamadan hemen sonra silmemesi nedeniyle meydana geldi. k-ID'nin sisteminin aksine—ki bu sistem özçekimleri cihazda işler ve hemen siler—Discord'un destek sistemi kimlik görüntülerini aylarca sakladı. Bu saklama penceresi, hackerların verilere erişmesine ve bunları dışarı sızdırmasına izin verdi. Hacker'ın k-ID sistemine değil, Discord'un destek portalına eriştiği bildiriliyor ve bu durum veri işleme uygulamalarındaki kritik bir güvenlik açığını vurguluyor.

Kullanıcı Gizliliği ve Gelecekteki Doğrulama İçin Etkiler

Bu olay, hassas biyometrik verilerin merkezi depolanmasının doğasında var olan risklerin altını çiziyor. Discord, Birleşik Krallık'ın yaş doğrulama yasası gibi düzenlemelerle küresel çapta yaş doğrulamasını genişletirken, bu ihlal bir uyarı niteliği taşıyor. Cihaz içi işleme kullanan otomatik yaş kontrolleri riski azaltırken, fotoğraflı kimlik itiraz yöntemi savunmasız kalmaya devam ediyor. Kullanıcılar, verilerinin derhal silineceğine güvenmek zorundadır ve bu güven bozulmuştur. Gelecekte, Discord ve diğer platformlar benzer ifşaları önlemek için daha katı veri minimizasyonu ve saklama politikaları benimsemelidir.

Discord Kullanıcıları Şimdi Ne Yapmalı

Discord, etkilenen kullanıcılarla noreply@discord.com adresinden e-posta yoluyla iletişime geçiyor. Böyle bir e-posta alırsanız, gerçekliğini doğrulayın ve talimatları izleyin. Resmi kanallar dışında yinelenen bilet göndermekten veya kimlik fotoğrafınızı paylaşmaktan kaçının. Gelecekteki ihlallerden endişe duyanlar için, tek kullanımlık veya sınırlı amaçlı kimlikler kullanmayı düşünün ve hesaplarınızı şüpheli etkinliklere karşı izleyin. Bu olay, veri saklama ve üçüncü taraf satıcı güvenliği konusunda daha güçlü mevzuat ihtiyacını vurguluyor.