Discord подвергся хакерской атаке: в сеть утекли данные для проверки возраста

Мы никогда не были поклонниками законов о проверке возраста — их появляется всё больше по всему миру, но в последнее время это особенно заметно в США и Великобритании. Британский закон о безопасности в интернете (Online Safety Act) теперь обязывает платформы проверять возраст пользователей, предусматривая довольно суровые наказания за несоблюдение.

Наша проблема с этими проверками возраста (и платформами, которые их внедряют) — как и проблема многих других экспертов по защите данных и безопасности — проста: такие процедуры заставляют пользователей предоставлять ещё больше личной информации. Речь идёт об изображениях удостоверений личности, таких как водительские права или паспорта. И когда платформы, хранящие такого рода конфиденциальные данные, взламывают, особенно если они размещают контент для взрослых, последствия могут быть просто катастрофическими.

Online Safety Act, который предписывает «строгие» проверки возраста для онлайн-платформ, вступил в силу 25 июля этого года. Discord, предвидя приближение этой даты, начал внедрять свою систему проверки возраста заранее, ещё в апреле 2025 года. Внедрение началось с ограниченного тестирования, которое включало сканирование лица для оценки возраста пользователей. Когда закон вступил в силу, политика быстро распространилась на всех пользователей, живущих в Великобритании.

Бомба замедленного действия

И, как можно было догадаться, так они заложили мину. На прошлой неделе Discord подтвердил, что произошла утечка личных данных пользователей, которые обрабатывались сторонним поставщиком услуг по обслуживанию клиентов. По данным Discord, злоумышленники получили доступ к «небольшому количеству изображений государственных удостоверений личности пользователей, которые подали апелляцию по поводу определения возраста».

В руки хакеров также попали следующие данные:

• Настоящие имена, имена пользователей Discord, адреса электронной почты и другие контактные данные (если они были предоставлены службе поддержки клиентов)
• Ограниченная платёжная информация — способ оплаты, последние четыре цифры банковской карты и история покупок (если она связана с аккаунтом)
• IP-адреса
• Переписка с командой поддержки Discord
• Некоторые внутренние корпоративные документы (учебные материалы, презентации)

Discord сообщил, что эти данные были раскрыты в ходе атаки 20 сентября, добавив, что хакеры потребовали от Discord выкуп, чтобы их не разглашать. По данным BleepingComputer, сторонним поставщиком услуг поддержки была компания Zendesk — популярная платформа обслуживания клиентов, используемая многими крупными компаниями.

После атаки Discord заявил, что отозвал доступ поставщика поддержки к системе обработки заявок, привлёк экспертов по компьютерной криминалистике и начал внутреннее расследование.

Неясно, сколько именно пользователей пострадало в результате инцидента, но у Discord около 250 миллионов активных пользователей в месяц. В то же время, проверки возраста в полной мере применяются только к пользователям из Великобритании, где они являются обязательными. Сам Discord [тестирует](https://support.discord.com/hc/en-us/articles/30326565624343 -How-to-Complete-Age-Verification-on-Discord) то, что называет «проверкой возраста», в других регионах — например, в Австралии. А значит, хотя пока эта функция доступна лишь в ограниченном числе стран, проверка возраста постепенно становится распространённой практикой — и именно поэтому мы хотим уделить ей особое внимание.

Соблюдайте правила, и ваши данные утекут

Обычно для создания аккаунта на онлайн-платформе не требуется предоставлять государственное удостоверение личности. Так как же его фотографии оказались в руках стороннего поставщика Discord и, в конечном итоге, в руках хакеров?

Виной всему недавно установленная в Discord система проверки возраста. Согласно рекомендациям Discord, есть только два способа подтвердить свою «возрастную группу»: либо отсканировать лицо, либо загрузить скан своего удостоверения личности. Выбирая меньшее из двух зол, большинство пользователей, скорее всего, предпочтут селфи. Некоторые проявляют изобретательность — пытаются обойти проверки Discord с помощью скриншотов из игрового фоторежима Death Stranding. Но если вы стараетесь играть по правилам, вам придётся предоставить либо своё фото, либо удостоверение личности.

И именно эти законопослушные пользователи — те, кто сделал то, что им сказали — оказались в эпицентре в результате последнего нарушения. Discord утверждает, что система построена, чтобы защищать конфиденциальность, и что никакие документы, удостоверяющие личность, или видео-селфи не хранятся постоянно:

«Discord и k-ID (поставщик услуг по проверке Discord) не хранят на постоянной основе документы, удостоверяющие личность, или ваши видео-селфи. Изображение вашего документа, удостоверяющего личность, и селфи, используемые для сопоставления лиц, удаляются сразу после подтверждения вашей возрастной группы, а видео-селфи, используемое для оценки возраста по лицу, никогда не покидает ваше устройство».

Мы должны поверить им на слово: данные удаляются сразу после использования. Но есть одна загвоздка: если система не может подтвердить ваш возраст (а это, будем честны, не такая уж редкость — технологии оценки возраста не всегда безошибочны), пользователям предлагается обратиться в службу безопасности Discord. И тогда их просят снова предоставить удостоверение личности или селфи. Именно эти фотографии и удостоверения личности и стали предметом утечки.

Реальная цена соблюдения требований

К сожалению для Discord — и для всех других платформ, которые вынуждены внедрять подобные системы — это только начало. Чем больше личных данных платформы вынуждены собирать, чтобы пользователи могли войти в систему, тем больше возможностей для утечек, нарушений и злоупотреблений.

Как всегда, главное правило — минимизировать количество личных данных, которые вы сообщаете в интернете. Будь то сайт, приложение или платформа — чем меньше вы им предоставляете, тем меньше может утечь.

В данном случае это может означать использование обходного пути — например, подключение к VPN-серверу в стране, где законы о проверке возраста (пока) не являются обязательными. Но как долго этот трюк будет работать, никто не знает.

Надеемся, что подобные инциденты послужат тревожным звоночком. И что крупные технологические компании и другие платформы начнут сопротивляться, а не просто сдадутся и покорно пойдут на уступки. Потому что сейчас цена за соблюдение требований начинает казаться опасно высокой.