年龄验证公司遭黑客攻击，可能泄露7万Discord用户身份证照片

泄露详情：发生了什么以及何时发生

2025年10月3日，Discord披露，一名未授权实体入侵了其第三方客服提供商5CA。此次泄露始于9月20日左右，一名客服代理的账户被攻破，黑客得以访问Discord用户数据约58小时。攻击者据称窃取了至少7万张用户提交用于年龄验证的政府签发身份证件（如护照或驾照）照片。据报道，肇事者还试图向受影响公司勒索赎金。

哪些数据被泄露？

除身份证照片外，此次泄露可能还暴露了用户的姓名、电子邮件地址、联系信息、IP地址以及与Discord客服的互动记录。幸运的是，完整的信用卡信息或密码未被访问。然而，泄露范围仍存在争议：声称负责的网络犯罪组织Scattered LAPSUS$ Hunters宣称，他们从550万用户中窃取了1.5TB数据，其中包括超过210万张身份证照片。但Discord坚持认为，全球受影响用户数量接近7万。

Discord上的年龄验证如何运作

申诉用的照片ID方式

当用户因未成年被锁定或访问年龄限制服务器时，Discord要求进行年龄验证。用户可提交一张自己手持政府签发身份证件（显示出生日期）和写有Discord用户名的纸张的照片。这张照片通过支持表单发送给Discord的信任与安全团队。所提供信息仅用于年龄验证，不作其他用途。

通过k-ID的自动年龄检查

在特定地区，Discord与k-ID合作进行自动年龄检查。用户拍摄视频自拍，该视频在设备上处理，并在年龄估算后立即删除。Discord声称他们和k-ID均不存储面部扫描。如果自动检查失败，用户必须使用照片ID方式。

为何发生泄露：数据保留问题

据消息人士称，此次泄露是因为Discord未能在验证后及时删除用户身份证照片。与k-ID的系统（在设备上处理自拍并立即删除）不同，Discord的支持系统将身份证照片保留了数月。这一保留窗口使黑客能够访问并窃取数据。据报道，黑客入侵的是Discord的支持门户，而非k-ID系统，这凸显了数据处理实践中的关键漏洞。

对用户隐私和未来验证的影响

此事件凸显了集中存储敏感生物识别数据的固有风险。随着Discord在全球范围内扩展年龄验证（受英国年龄验证法等法规推动），此次泄露是一个警示。虽然使用设备端处理的自动年龄检查降低了风险，但照片ID申诉方式仍然脆弱。用户必须相信其数据会被及时删除，而这种信任已被打破。未来，Discord及其他平台必须采取更严格的数据最小化和保留政策，以防止类似泄露。

Discord用户现在应该做什么

Discord正在通过noreply@discord.com联系受影响用户。如果您收到此类邮件，请验证其真实性并按照指示操作。避免提交重复工单或在官方渠道外分享您的身份证照片。对于担心未来泄露的用户，可考虑使用一次性或有限用途的身份证件，并监控账户异常活动。此事件凸显了加强数据保留和第三方供应商安全立法的必要性。