Ataque de hacker resulta no vazamento de documentos de verificação de idade no Discord

Nós nunca fomos exatamente fãs da onda crescente de leis de verificação de idade que estão surgindo pelo mundo, mais recentemente — e talvez de forma mais notável — nos Estados Unidos e no Reino Unido. Por lá, o Online Safety Act agora obriga as plataformas a verificarem a idade de seus usuários, com penalidades bastante severas em caso de descumprimento.

O nosso problema — e o de muitos outros especialistas em privacidade e segurança — com esses sistemas de verificação de idade (e com as plataformas que os implementam) é simples: eles forçam os usuários a entregarem ainda mais de suas informações pessoais altamente sensíveis. Estamos falando de imagens de documentos, como carteiras de motorista ou passaportes. E quando plataformas que armazenam esse tipo de dado são hackeadas — especialmente se hospedam conteúdo adulto — as consequências podem ser simplesmente desastrosas.

O Online Safety Act do Reino Unido, que exige verificações de idade “robustas” para plataformas online, entrou em vigor em 25 de julho deste ano. Antecipando o prazo, o Discord começou a implementar seu sistema de verificação de idade ainda em abril de 2025, com uma fase de testes limitada que incluía escaneamento facial para estimar a idade dos usuários. Quando a lei entrou em vigor, a política foi rapidamente expandida para abranger todos os usuários baseados no Reino Unido.

Uma bomba-relógio

Como você provavelmente já imaginava, isso era uma bomba-relógio. Na semana passada, o Discord confirmou que uma quantidade significativa de dados pessoais de usuários, tratados por um provedor terceirizado de atendimento ao cliente, foi comprometida. Segundo o Discord, os invasores obtiveram acesso a “um pequeno número de imagens de documentos governamentais (por exemplo, carteira de motorista, passaporte)” de usuários que haviam recorrido de uma decisão de verificação de idade.

Outros dados que caíram nas mãos dos hackers incluíam:

• Nomes, nomes de usuário no Discord, e-mails e outros dados de contato (se fornecidos ao suporte)
• Informações de cobrança limitadas, como tipo de método de pagamento, últimos quatro dígitos do cartão e histórico de compras (se vinculados à conta)
• Endereços IP
• Mensagens trocadas com a equipe de suporte do Discord
• Alguns documentos corporativos internos (materiais de treinamento, apresentações internas)

O Discord afirmou que esses dados foram expostos durante o ataque de 20 de setembro e que os hackers exigiram um resgate para não vazar as informações. Segundo o site BleepingComputer, o provedor terceirizado em questão era o Zendesk, uma popular plataforma de suporte ao cliente usada por várias grandes empresas.

Após o ataque, o Discord informou que revogou o acesso do provedor ao sistema de tickets, contratou especialistas em forense digital e iniciou uma investigação interna.

Ainda não está claro quantos usuários foram afetados, mas o Discord conta com cerca de 250 milhões de usuários ativos mensais. Ao mesmo tempo, as verificações de idade se aplicam integralmente apenas aos usuários baseados no Reino Unido, onde são obrigatórias. O próprio Discord tem testado o que chama de “confirmação de idade” em outras regiões, como, supostamente, na Austrália. Isso significa que, embora ainda seja algo limitado, a verificação de idade está a caminho de se tornar uma prática amplamente disseminada — e é exatamente por isso que vale a pena falar sobre isso.

Siga as regras, tenha seu documento vazado

Normalmente, para criar uma conta em uma plataforma online, você não precisa enviar seu documento de identidade — então, como essas fotos de ID foram parar nas mãos do provedor terceirizado do Discord e, eventualmente, dos hackers?

O culpado é o novo sistema de verificação de idade implementado pelo Discord. De acordo com as diretrizes da plataforma, existem apenas duas maneiras de comprovar sua “faixa etária”: escanear o rosto ou enviar uma imagem do seu documento de identidade. Diante dessa escolha, a maioria dos usuários provavelmente prefere tirar uma selfie em vez de enviar um documento oficial. Alguns são ainda mais criativos — tentando burlar o sistema com capturas de tela do modo foto do jogo Death Stranding. Mas se você quiser “fazer tudo certinho”, acabará enviando seu rosto ou seu documento.

E foram justamente os usuários que seguiram as regras que acabaram na mira da mais recente violação de dados. O Discord afirma que o sistema foi construído com foco em privacidade e que nenhum documento de identificação ou selfie em vídeo é armazenado permanentemente:

“O Discord e o k-ID (provedor de verificação do Discord) não armazenam permanentemente documentos de identidade pessoal ou suas selfies em vídeo. A imagem do documento de identidade e a selfie de correspondência facial são excluídas imediatamente após a confirmação de sua faixa etária, e o vídeo usado para estimar a idade nunca deixa o seu dispositivo.”

Temos que confiar na palavra deles: que os dados são realmente excluídos imediatamente após o uso. Mas há um problema — se o sistema falhar em verificar sua idade (o que, sejamos honestos, não é raro — a tecnologia de estimativa de idade está longe de ser perfeita), o usuário é direcionado a entrar em contato com a equipe de Trust and Safety do Discord. É nesse momento que ele é solicitado a enviar novamente seu documento ou uma selfie. Essas foram as fotos e documentos que vazaram.

O verdadeiro custo da conformidade

Infelizmente para o Discord — e para todas as outras plataformas sendo pressionadas a implementar sistemas semelhantes — isso é apenas o começo. Quanto mais dados pessoais as plataformas forem obrigadas a coletar apenas para permitir o login dos usuários, mais oportunidades surgirão para vazamentos, ataques e exploração. A superfície de ataque só aumenta.

A regra de ouro (como sempre) é: minimize a quantidade de dados pessoais que você compartilha online. Seja em um site, aplicativo ou plataforma, quanto menos você fornecer, menos haverá o que vazar.

Nesse caso, isso pode significar recorrer a uma alternativa, como conectar-se a um servidor VPN em um país onde as leis de verificação de idade ainda não são obrigatórias. Mas ninguém sabe por quanto tempo esse truque continuará funcionando.

Com sorte, incidentes como este servirão de alerta. Que as grandes empresas de tecnologia e outras plataformas comecem a resistir, em vez de simplesmente se curvarem e obedecerem. Porque, neste momento, o preço da conformidade está começando a parecer perigosamente alto.