Vi phạm công ty xác minh độ tuổi có thể đã lộ ảnh căn cước của 70.000 người dùng Discord
Chi tiết vụ vi phạm: Điều gì đã xảy ra và khi nào
Vào ngày 3 tháng 10 năm 2025, Discord tiết lộ rằng một thực thể trái phép đã truy cập vào một trong các nhà cung cấp dịch vụ khách hàng bên thứ ba của họ, 5CA. Vụ vi phạm, bắt đầu từ khoảng ngày 20 tháng 9, đã xâm phạm tài khoản của một nhân viên hỗ trợ, cho phép tin tặc truy cập dữ liệu người dùng Discord trong khoảng 58 giờ. (Các) kẻ tấn công bị cáo buộc đã đánh cắp ít nhất 70.000 hình ảnh giấy tờ tùy thân do chính phủ cấp—như hộ chiếu hoặc bằng lái xe—do người dùng gửi để xác minh độ tuổi. Thủ phạm cũng được cho là đang cố gắng tống tiền công ty bị ảnh hưởng.
Dữ liệu nào đã bị lộ?
Ngoài ảnh căn cước, vụ vi phạm có thể đã làm lộ tên, địa chỉ email, thông tin liên lạc, địa chỉ IP và tương tác của người dùng với bộ phận hỗ trợ khách hàng của Discord. May mắn thay, thông tin thẻ tín dụng hoàn chỉnh hoặc mật khẩu không bị truy cập. Tuy nhiên, phạm vi vẫn còn gây tranh cãi: nhóm tội phạm mạng nhận trách nhiệm, Scattered LAPSUS$ Hunters, khẳng định họ đã đánh cắp 1,5 terabyte dữ liệu từ 5,5 triệu người dùng, bao gồm hơn 2,1 triệu ảnh căn cước. Tuy nhiên, Discord duy trì rằng con số này gần với 70.000 người dùng bị ảnh hưởng trên toàn cầu.
Cách xác minh độ tuổi hoạt động trên Discord
Phương thức ảnh căn cước cho kháng cáo
Discord yêu cầu xác minh độ tuổi khi người dùng bị khóa do chưa đủ tuổi hoặc khi truy cập máy chủ giới hạn độ tuổi. Người dùng có thể gửi ảnh chụp họ cầm cả giấy tờ tùy thân do chính phủ cấp (hiển thị ngày sinh) và một tờ giấy có tên người dùng Discord của họ. Bức ảnh đơn lẻ này được gửi đến nhóm Trust & Safety của Discord qua biểu mẫu hỗ trợ. Thông tin được cung cấp chỉ được sử dụng để xác minh độ tuổi và không cho bất kỳ mục đích nào khác.
Kiểm tra độ tuổi tự động qua k-ID
Tại một số khu vực chọn lọc, Discord hợp tác với k-ID để kiểm tra độ tuổi tự động. Người dùng quay video selfie, được xử lý trên thiết bị của họ và bị xóa ngay sau khi ước tính độ tuổi. Discord tuyên bố rằng cả họ và k-ID đều không lưu trữ bản quét khuôn mặt. Nếu kiểm tra tự động thất bại, người dùng phải sử dụng phương thức ảnh căn cước.
Tại sao vụ vi phạm này xảy ra: Vấn đề lưu trữ dữ liệu
Theo các nguồn tin, vụ vi phạm xảy ra do Discord không xóa ảnh căn cước của người dùng kịp thời sau khi xác minh. Không giống như hệ thống của k-ID—xử lý ảnh selfie trên thiết bị và xóa chúng ngay lập tức—hệ thống hỗ trợ của Discord đã lưu giữ ảnh căn cước trong nhiều tháng. Cửa sổ lưu giữ này cho phép tin tặc truy cập và trích xuất dữ liệu. Tin tặc được cho là đã truy cập vào cổng hỗ trợ của Discord, không phải hệ thống k-ID, làm nổi bật một lỗ hổng nghiêm trọng trong thực tiễn xử lý dữ liệu.
Hàm ý đối với quyền riêng tư của người dùng và xác minh trong tương lai
Sự cố này nhấn mạnh rủi ro vốn có trong việc lưu trữ tập trung dữ liệu sinh trắc học nhạy cảm. Khi Discord mở rộng xác minh độ tuổi trên toàn cầu—do các quy định như luật xác minh độ tuổi của Vương quốc Anh thúc đẩy—vụ vi phạm này là một câu chuyện cảnh báo. Trong khi kiểm tra độ tuổi tự động sử dụng xử lý trên thiết bị giảm rủi ro, phương thức kháng cáo bằng ảnh căn cước vẫn dễ bị tổn thương. Người dùng phải tin tưởng rằng dữ liệu của họ sẽ bị xóa kịp thời, một niềm tin đã bị phá vỡ. Trong tương lai, Discord và các nền tảng khác phải áp dụng các chính sách giảm thiểu và lưu giữ dữ liệu chặt chẽ hơn để ngăn chặn các vụ lộ lọt tương tự.
Người dùng Discord nên làm gì ngay bây giờ
Discord đang liên hệ với những người dùng bị ảnh hưởng qua email từ noreply@discord.com. Nếu bạn nhận được email như vậy, hãy xác minh tính xác thực của nó và làm theo hướng dẫn. Tránh gửi vé trùng lặp hoặc chia sẻ ảnh căn cước của bạn bên ngoài các kênh chính thức. Đối với những người lo ngại về các vụ vi phạm trong tương lai, hãy cân nhắc sử dụng căn cước dùng một lần hoặc có mục đích hạn chế, và theo dõi tài khoản của bạn để phát hiện hoạt động đáng ngờ. Sự cố này nhấn mạnh nhu cầu về luật pháp mạnh mẽ hơn liên quan đến lưu giữ dữ liệu và bảo mật của nhà cung cấp bên thứ ba.