第一次但绝非最后一次?Discord 遭黑客攻击,年龄验证身份文件泄露
我们向来对全球范围内不断涌现的年龄验证法规浪潮持保留态度,尤其近期在美国和英国出台的相关法案。根据英国最新生效的《网络安全法》(英文:Online Safety Act),线上平台现被强制要求验证用户年龄,违者将面临相当严厉的处罚。
我们以及众多隐私安全专家对此类年龄验证机制(及推行该机制的平台)的顾虑非常简单:它们迫使用户交出其高度敏感的个人信息,包括驾驶执照、护照等身份证明图像。而存储此类敏感数据的平台一旦遭黑客入侵,尤其是涉及成人内容的平台,后果将不堪设想。
英国《网络安全法》强制要求线上平台实施“严格”年龄核查,并于今年7月25日正式生效。Discord 为赶在期限前落实,早在2025年4月便着手部署其年龄验证系统,初期测试甚至包含通过面部扫描预估用户年龄。法案生效后,该政策迅速覆盖所有英国用户。
滴答作响的定时炸弹
正如大家所料,这成了一枚定时炸弹。最近,Discord 确认其第三方客服供应商处理的用户个人信息库遭泄露。据 Discord 声明,攻击者获取了“少量政府签发的身份证明图像(如驾照、护照)”,这些文件来自曾对年龄判定结果提出申诉的用户。
同时被黑客掌握的数据还包括:
- 姓名、Discord 用户名、邮箱及其他联系信息(若曾提供给客服)
- 有限账单信息,如支付方式类型、信用卡末四位及购买记录(若与账户关联)
- IP 地址
- 与 Discord 客服团队的往来消息
- 部分内部企业文件(培训资料、内部演示文稿)
Discord 表示,数据在9月20日的攻击中泄露,黑客以此勒索赎金以免数据公开。据 BleepingComputer 报道,涉事第三方客服供应商为 Zendesk。这是一家被众多大型企业采用的通用客服平台。
事件发生后,Discord 称已撤销该供应商对系统的访问权限,并聘请了电子取证专家启动内部调查。
虽确切受影响用户数尚不明确,但 Discord 月活跃用户约达2.5亿。需注意的是,强制年龄验证目前仅全面适用于英国用户。同时,Discord 自身也在其他地区测试其所谓“年龄保证”系统,据报道包括澳大利亚。这意味着,尽管当前范围有限,年龄验证正逐步成为普遍做法,这也正是我们聚焦此问题的原因。
遵守规则,反遭身份泄露
通常,在线上平台创建账户无需提交政府签发的身份文件,那么身份证明图像为何会流入 Discord 的第三方供应商乃至黑客手中?
根源在于 Discord 新部署的年龄验证系统。根据其指南,验证“年龄段”仅两种途径:面部扫描或上传身份证明文件扫描件。两害相权取其轻,多数用户可能选择自拍而非提交官方身份证件。部分用户甚至发挥创意,例如尝试用《死亡搁浅》游戏内拍照模式的截图绕过验证。但若严格按规则操作,用户终需提交面容或身份信息。
而正是这些遵纪守法的用户,那些按指引操作的人,成了本次泄露事件的主角。Discord 声称系统以隐私保护为核心设计,身份文件与视频自拍均不永久存储:
“Discord 及其验证服务商 k-ID 不会永久保存个人身份文件或视频自拍。身份证明图像及人脸匹配自拍将在确认年龄段后立即删除,用于面部年龄估计的视频自拍始终留存于用户设备。”
我们暂且采信其言:数据在使用后立即删除。不过,关键在于,若系统未能成功验证年龄(坦白说这类情况并不罕见,年龄估算技术并非万无一失),用户会被指引联系 Discord 信任与安全团队。此时他们需再次提交身份证明或自拍。正是这些照片与文件遭到泄露。
合规背后的真实代价
不幸的是,对 Discord 及所有被迫推行类似系统的平台而言,这仅是开端。平台为让用户登录而被迫收集的个人信息越多,泄露、入侵与滥用的风险就越高。攻击面正持续扩大。
核心原则始终如一:最大限度减少您在线上提交的个人信息。无论是网站、应用或平台,您提供得越少,可被泄露的内容就越有限。
在此情境下,或可考虑连接至尚未强制实行年龄验证法规国家的 VPN 服务器等变通方案。但此类方法的有效性还能维持多久,仍是未知数。
期望此类事件能敲响警钟。期望科技巨头及其他平台能开始坚守立场,而非一味妥协顺从。
