Sicherheitsvorfall bei Discord: Nutzerdaten von Altersprüfungen geleakt

Wir haben die zunehmenden Altersverifizierungsgesetze nie wirklich gemocht, besonders die neuen in den USA und Großbritannien. Dort verpflichtet das „Online Safety Act“ Plattformen dazu, das Alter ihrer Nutzer:innen zu überprüfen, mit ziemlich harten Strafen für die Nichteinhaltung.

Unser Problem — und das vieler anderer, die sich mit Datenschutz und Sicherheit auskennen — mit diesen Altersverifizierungsprüfungen (und den Plattformen, die sie einführen) ist einfach: Sie zwingen Menschen, noch mehr ihrer hochsensiblen persönlichen Informationen preiszugeben. Es geht um Ausweiskopien, wie Führerscheine oder Reisepässe. Und wenn Plattformen, die solche Daten speichern, gehackt werden — besonders, wenn sie Inhalte für Erwachsene bereitstellen — können die Folgen katastrophal sein.

Das „Online Safety Act“ des Vereinigten Königreichs, das „robuste“ Altersprüfungen für Online-Plattformen vorschreibt, trat am 25. Juli dieses Jahres in Kraft. Discord, das sich auf den Termin vorbereitete, begann bereits im April 2025 mit der Einführung seines Altersverifizierungssystems. Der Rollout begann mit einem begrenzten Test, der eine Gesichtsscanner-Technologie beinhaltete, um das Alter der Nutzer:innen zu schätzen. Als das Gesetz in Kraft trat, wurde die Politik schnell auf alle Nutzer:innen im Vereinigten Königreich ausgeweitet.

Eine tickende Zeitbombe

Und — wie man sich vielleicht denken kann — es war eine tickende Zeitbombe. Discord bestätigte, dass eine große Menge an persönlichen Daten, die durch den Drittanbieter für den Kundenservice verarbeitet wurde, gehackt wurde. Laut Discord haben die Angreifer „eine kleine Anzahl von Ausweiskopien (z. B. Führerschein, Reisepass)“ von Nutzer:innen erlangt, die eine Altersbestimmung angefochten hatten.

Andere Daten, die in die Hände der Hacker fielen, umfassen:

• Namen, Discord-Benutzernamen, E-Mails und andere Kontaktdaten (sofern diese dem Kundenservice mitgeteilt wurden)

• Eingeschränkte Abrechnungsinformationen wie die Art der Zahlungsmethode, die letzten vier Ziffern der Kreditkarten und die Kaufhistorie (sofern mit dem Konto verbunden)

• IP-Adressen

• Nachrichten, die mit dem Discord-Kundendienst ausgetauscht wurden

• Einige interne Unternehmensdokumente (Schulungsmaterialien, interne Präsentationen)

Discord gab an, dass diese Daten im Angriff vom 20. September exponiert wurden und dass die Hacker ein Lösegeld von Discord verlangten, damit die Daten nicht veröffentlicht werden. Laut BleepingComputer war der Drittanbieter des Support-Dienstes Zendesk, eine beliebte Plattform für Kundenservice, die von vielen großen Unternehmen genutzt wird.

Nach dem Angriff erklärte Discord, dass der Zugriff des Support-Dienstes auf das Ticket-System widerrufen wurde, dass forensische Experten für Computer hinzugezogen wurden und eine interne Untersuchung eingeleitet wurde.

Es ist noch unklar, wie viele Leute genau von diesem Vorfall betroffen waren, aber Discord hat etwa 250 Millionen monatlich aktive Nutzer:innen. Gleichzeitig gelten die Altersverifizierungsprüfungen vollständig nur im Vereinigten Königreich, wo sie obligatorisch sind. Discord selbst hat das, was es als „Altersverifizierung“ bezeichnet, auch in anderen Regionen getestet, wie angeblich auch in Australien. Das bedeutet, dass diese Praktik momentan noch begrenzt ist, aber die Altersverifizierung auf dem besten Weg ist, zu einer weit verbreiteten Praxis zu werden — und genau aus diesem Grund möchten wir uns jetzt darauf konzentrieren.

Sie spielen nach den Regeln, und Ihre Daten werden trotzdem geleakt

Normalerweise muss man beim Erstellen eines Kontos auf einer Online-Plattform keinen Ausweis vorlegen — aber wie kamen dann Fotos von Ausweisen in die Hände von Discords Drittanbieter und schließlich in die Hände von Hackern?

Verantwortlich dafür ist das neu eingeführte Altersverifizierungssystem bei Discord. Laut den Richtlinien von Discord gibt es nur zwei Möglichkeiten, um die „Altersgruppe“ nachzuweisen: entweder ein Selfie scannen oder einen Scan des Ausweisdokuments hochladen.

Angesichts der Wahl zwischen zwei Übeln entscheiden sich die meisten Leute wahrscheinlich eher für das Selfie, anstatt einen amtlichen Ausweis einzureichen. Einige gehen noch kreativer vor — zum Beispiel indem sie versuchen, Discords Prüfungen mit Screenshots aus dem Spiel Death Stranding zu umgehen. Aber wer versucht, alles nach Vorschrift zu machen, wird entweder sein Gesicht oder seinen Ausweis einreichen müssen.

Und gerade die gesetzestreuen Leute — die, die getan haben, was ihnen gesagt wurde — wurden jetzt das Ziel des jüngsten Sicherheitsvorfalls. Discord behauptet, dass das System mit der Privatsphäre im Hinterkopf entwickelt wurde und dass keine Identifikationsdokumente oder Video-Selfies dauerhaft gespeichert werden:

„Discord und k-ID (Discords Verifizierungsdienstleister) speichern keine persönlichen Identitätsdokumente oder deine Video-Selfies dauerhaft. Bilder deiner Identitätsdokumente und ID-Übereinstimmungs-Selfies werden direkt nach Bestätigung deiner Altersgruppe gelöscht, und das Video-Selfie, das für die Schätzung des Gesichtsalters verwendet wurde, verlässt niemals dein Gerät.“

Wir müssen hier ihrem Wort glauben schenken: dass die Daten direkt nach Bestätigung gelöscht werden. Aber es gibt einen Haken: Wenn das System Ihr Alter nicht verifizieren kann (was, seien wir ehrlich, nicht so selten ist — die Altersabschätzungstechnologie ist nicht immer narrensicher), werden die Nutzer:innen aufgefordert, das Trust and Safety-Team von Discord zu kontaktieren. Und genau dann werden sie aufgefordert, ihr Ausweis oder ein Selfie erneut einzureichen. Diese Fotos und Daten wurden geleakt.

Die echten Kosten der Einhaltung

Leider ist dies für Discord — und für alle anderen Plattformen, die dazu gedrängt werden, ähnliche Systeme einzuführen — erst der Anfang. Je mehr persönliche Daten Plattformen sammeln müssen, damit Leute sich anmelden können, desto mehr Möglichkeiten gibt es für Datenlecks, Sicherheitsverletzungen und Ausnutzung. Die Angriffsfläche wächst stetig.

Die Faustregel (wie immer) lautet: Minimieren Sie, wie viele persönliche Daten Sie online preisgeben. Egal ob Website, App oder Plattform — je weniger Sie ihnen geben, desto weniger kann geleakt werden.

In diesem Fall könnte das bedeuten, eine Umgehungslösung wie die Verbindung zu einem VPN-Server in einem Land zu verwenden, in dem Altersverifizierungsgesetze (noch) nicht verpflichtend sind. Aber wie lange dieser Trick funktioniert, ist schwer vorherzusagen.

Hoffentlich dienen Vorfälle wie dieser als Weckruf. Hoffentlich werden große Tech-Unternehmen und andere Plattformen anfangen, sich zu wehren, anstatt einfach nachzugeben und zu gehorchen. Denn momentan scheint der Preis für die Einhaltung dieser Vorschriften gefährlich hoch zu sein.