Em 3 de outubro de 2025, o Discord relatou que hackers haviam comprometido um de seus provedores terceirizados de atendimento ao cliente e suporte (5CA) e supostamente roubaram pelo menos 70.000 imagens(nova janela) de IDs emitidos pelo governo (como passaportes ou carteiras de motorista) usados para verificação de idade.
De acordo com o Discord, outras informações sensíveis que foram roubadas incluem:
- Nomes, nomes de usuário do Discord, endereços de e-mail e outros detalhes de contato que os usuários forneceram para receber suporte.
- Mensagens ou transcrições de conversas com agentes de suporte (por exemplo, o que os usuários comunicaram às equipes de suporte).
- Metadados limitados de faturamento e pagamento, incluindo método de pagamento, histórico de compras e os últimos quatro dígitos de cartões de crédito.
- Endereços IP associados a interações de suporte.
- “Dados corporativos limitados”, como materiais de treinamento ou apresentações internas armazenadas no sistema de suporte.
Ele também diz que os seguintes tipos de informações sensíveis não foram acessados:
- Números completos de cartão de crédito e códigos de segurança (CCV)
- Mensagens ou atividades no Discord além do que os usuários podem ter discutido com o suporte ao cliente
- Senhas ou dados de autenticação
A violação aparentemente(nova janela)começou em 20 de setembro(nova janela), depois que os invasores comprometeram a conta de um agente de suporte, e eles tiveram acesso aos dados de usuários do Discord por cerca de 58 horas. O Discord está entrando em contato com todos os usuários afetados por e-mail em noreply@discord.com.
A motivação para os ataques parece ser inteiramente financeira, com a demanda inicial de resgate de US$ 5 milhões dos hackers reduzida posteriormente para US$ 3,5 milhões. O porta-voz do Discord disse ao The Verge(nova janela) que o Discord “não recompensará os responsáveis por suas ações ilegais”.
No entanto, há relatórios conflitantes sobre o escopo do ataque e quem é realmente o culpado. O grupo de crimes cibernéticos que reivindica crédito pelo ataque, Scattered LAPSUS$ Hunters, diz que roubou 1,5 terabytes de dados de 5,5 milhões de usuários, incluindo mais de 2,1 milhões de fotos de IDs governamentais. E em 14 de outubro, a 5CA, o serviço terceirizado de suporte ao cliente que o Discord alega ser responsável pela violação, (nova janela)negou que(nova janela) lidou com IDs emitidos pelo governo para o Discord, ou que seu sistema foi hackeado (embora admitisse que o incidente potencialmente resultou de erro humano).
Então, por que o Discord coletou fotos de IDs governamentais?
Para cumprir a nova lei de verificação de idade do Reino Unido(nova janela) (e a futura da Austrália), o Discord tem experimentado a verificação de idade(nova janela) usando uma digitalização facial ou um ID digitalizado (como passaporte ou carteira de motorista).
Normalmente, o Discord exigia uma selfie do usuário(nova janela) e, em seguida, usava um software para escanear a foto e estimar sua idade. O Discord excluiria a foto no final do processo. O sistema que foi supostamente hackeado fazia parte de seu processo de apelação.
Se um usuário sentisse que foi banido injustamente por ser muito jovem, poderia enviar uma foto de seu ID emitido pelo governo para ajudar a provar sua idade. Foram esses dados que foram supostamente roubados. E dados os 200 milhões de usuários ativos do Discord, se até mesmo uma pequena fração deles tivesse que passar pelo processo de apelação, isso seria potencialmente milhões de IDs.
O fato de uma plataforma de mídia social usada principalmente por gamers sentir a necessidade de coletar essas informações mostra o quão longe o desvio de função das leis de verificação de idade, cujo objetivo declarado é proteger crianças da pornografia, já se espalhou.
Como proteger-se
Essa violação é outro lembrete de que muitas vezes somos forçados a entregar dados sensíveis com pouca visibilidade sobre como eles são armazenados, protegidos ou compartilhados. Embora você não possa recuperar dados que já vazaram, pode tentar assumir o controle de quais dados compartilha daqui para frente. Veja como:
- Audite onde estão seus dados sensíveis: Se você teve que compartilhar seus dados sensíveis (como um ID), leia a política de privacidade deles. Se você não usa mais essa conta, veja se há uma opção para excluir seus dados.
- Use serviços que não exijam dados invasivos: Isso está se tornando mais difícil, mas dados que nunca são coletados não podem vazar. Se você precisar de um serviço, procure aqueles que sejam transparentes(nova janela) sobre quais dados coletam, com qual finalidade e por quanto tempo serão armazenados.
- Mantenha o compartilhamento de dados ao mínimo on-line: Mesmo (ou, dados os muitos ataques recentes com foco em portais de suporte, especialmente) durante interações de suporte, não compartilhe nenhuma informação desnecessária. Use uma VPN(nova janela) e aliases de e-mail sempre que possível.
O que isso significa para a verificação de idade
A necessidade de proteger as crianças dos muitos danos on-line(nova janela) é real, por isso é compreensível que governos de todo o mundo, da UE(nova janela) à Austrália(nova janela) e Canadá(nova janela), estejam interessados em seguir a lei de verificação de idade recém-aplicada no Reino Unido.
Se tais leis são a melhor solução para o problema está aberto a debate(nova janela), mas o que é certo é que as violações de dados se tornaram um ritmo tão constante diário que dificilmente notamos as manchetes sobre mais uma empresa de alto perfil vazando milhões de detalhes pessoais das pessoas.
E nunca houve qualquer razão para supor que os dados de verificação de idade, exclusivamente sensíveis, seriam imunes a tais vazamentos, um ponto dramaticamente comprovado por este incidente.
Isso significa que, mesmo que você aprove as leis de verificação de idade em princípio, elas não devem ser implementadas antes que soluções de padrão aberto, descentralizadas e genuinamente seguras, que respeitem genuinamente sua privacidade, sejam desenvolvidas e disponibilizadas amplamente.
