Iamprovider

Злом фірми з перевірки віку міг викрити фото ID 70 000 користувачів Discord

Злом фірми з перевірки віку міг викрити фото ID 70 000 користувачів Discord

Деталі витоку: що сталося і коли

3 жовтня 2025 року Discord повідомив, що неавторизована особа отримала доступ до одного зі сторонніх постачальників послуг підтримки, 5CA. Витік, який розпочався приблизно 20 вересня, скомпрометував обліковий запис агента підтримки, надавши хакерам доступ до даних користувачів Discord приблизно на 58 годин. Зловмисник(и) нібито викрали щонайменше 70 000 зображень державних посвідчень особи — таких як паспорти або водійські права — наданих користувачами для перевірки віку. Повідомляється також, що зловмисник намагається вимагати викуп у постраждалої компанії.

Які дані були викриті?

Окрім фото ID, витік міг викрити імена користувачів, адреси електронної пошти, контактну інформацію, IP-адреси та взаємодію зі службою підтримки Discord. На щастя, повні дані кредитних карток або паролі не були доступні. Однак масштаб залишається спірним: група кіберзлочинців, яка взяла на себе відповідальність, Scattered LAPSUS$ Hunters, стверджує, що викрала 1,5 терабайта даних 5,5 мільйонів користувачів, включаючи понад 2,1 мільйона фото ID. Discord, однак, наполягає, що цифра ближча до 70 000 постраждалих користувачів у всьому світі.

Як працює перевірка віку в Discord

Метод фото ID для апеляцій

Discord вимагає перевірку віку, коли користувача заблоковано через неповнолітній вік або при доступі до серверів з віковими обмеженнями. Користувачі можуть надіслати фото, на якому вони тримають державне посвідчення особи (із зазначенням дати народження) та папірець зі своїм ім'ям користувача Discord. Це єдине фото надсилається команді Trust & Safety Discord через форму підтримки. Надана інформація використовується виключно для перевірки віку і не для жодних інших цілей.

Автоматична перевірка віку через k-ID

В окремих регіонах Discord співпрацює з k-ID для автоматичної перевірки віку. Користувачі роблять відеоселфі, яке обробляється на їхньому пристрої та негайно видаляється після оцінки віку. Discord стверджує, що ні вони, ні k-ID не зберігають скани обличчя. Якщо автоматична перевірка не вдається, користувачі повинні вдатися до методу фото ID.

Чому стався цей витік: проблеми зі зберіганням даних

За даними джерел, витік стався через те, що Discord не видаляв фото ID користувачів одразу після перевірки. На відміну від системи k-ID, яка обробляє селфі на пристрої та видаляє їх негайно, система підтримки Discord зберігала зображення ID місяцями. Це вікно зберігання дозволило хакерам отримати доступ до даних та викрасти їх. Повідомляється, що хакер отримав доступ до порталу підтримки Discord, а не до системи k-ID, що підкреслює критичну вразливість у практиках обробки даних.

Наслідки для конфіденційності користувачів та майбутньої перевірки

Цей інцидент підкреслює ризики, пов'язані з централізованим зберіганням чутливих біометричних даних. Оскільки Discord розширює перевірку віку в усьому світі — під впливом таких регуляцій, як закон Великобританії про перевірку віку — цей витік є застережливим прикладом. Хоча автоматичні перевірки віку з використанням обробки на пристрої знижують ризик, метод апеляції з фото ID залишається вразливим. Користувачі повинні довіряти, що їхні дані будуть негайно видалені, але ця довіра була порушена. Надалі Discord та інші платформи повинні впроваджувати суворішу політику мінімізації та зберігання даних, щоб запобігти подібним витокам.

Що робити користувачам Discord зараз

Discord зв'язується з постраждалими користувачами електронною поштою з адреси noreply@discord.com. Якщо ви отримали такий лист, перевірте його автентичність та дотримуйтесь інструкцій. Уникайте надсилання дублікатних заявок або передачі фото ID через неофіційні канали. Тим, хто турбується про майбутні витоки, варто використовувати одноразові або обмежені ID та стежити за своїми обліковими записами на предмет підозрілої активності. Інцидент підкреслює необхідність посилення законодавства щодо зберігання даних та безпеки сторонніх постачальників.