70.000 Regierungs-IDs in Discord-Datenleck geleakt

Am 3. Oktober 2025 berichtete Discord, dass Hacker einen seiner Drittanbieter für Kundenservice und Support (5CA) gefährdet und angeblich mindestens 70.000 Bilder(neues Fenster) von staatlich ausgestellten Ausweisen (wie Reisepässen oder Führerscheinen) gestohlen haben, die zur Altersüberprüfung verwendet wurden.

Laut Discord gehören zu den anderen sensiblen Informationen, die gestohlen wurden:

• Namen, Discord-Benutzernamen, E-Mail-Adressen und andere Kontaktdaten, die Benutzer bereitgestellt haben, um Support zu erhalten.
• Nachrichten oder Unterhaltungstranskripte mit Support-Agenten (zum Beispiel, was Benutzer mit Support-Teams kommuniziert haben).
• Begrenzte Abrechnungs- und Zahlungsmetadaten, einschließlich Zahlungsmethode, Kaufhistorie und den letzten vier Ziffern der Kreditkarten.
• IP-Adressen, die mit Support-Interaktionen verbunden sind.
• „Begrenzte Unternehmensdaten“ wie Schulungsmaterialien oder interne Präsentationen, die im Support-System gespeichert sind.

Es sagt auch, dass auf die folgenden Arten sensibler Informationen nicht zugegriffen wurde:

• Vollständige Kreditkartennummern und Sicherheitscodes (CCV)
• Nachrichten oder Aktivität auf Discord über das hinaus, was Benutzer möglicherweise mit dem Kundensupport besprochen haben
• Passwörter oder Authentifizierungsdaten

Das Datenleck begann anscheinend(neues Fenster) am 20. September(neues Fenster), nachdem die Angreifer das Konto eines Support-Agenten kompromittiert hatten, und sie hatten etwa 58 Stunden lang Zugriff auf Discord-Benutzerdaten. Discord kontaktiert alle betroffenen Benutzer per E-Mail unter noreply@discord.com.

Die Motivation für die Angriffe scheint rein finanzieller Natur zu sein, wobei die ursprüngliche Lösegeldforderung der Hacker von 5 Millionen US-Dollar später auf 3,5 Millionen US-Dollar reduziert wurde. Ein Sprecher von Discord sagte The Verge(neues Fenster), dass Discord „die Verantwortlichen nicht für ihre illegalen Handlungen belohnen wird.“

Es gibt jedoch widersprüchliche Berichte über den Umfang des Angriffs und wer wirklich schuld ist. Die Cyberkriminalitätsgruppe, die den Angriff für sich beansprucht, Scattered LAPSUS$ Hunters, sagt, sie habe 1,5 Terabyte Daten von 5,5 Millionen Benutzern gestohlen, darunter über 2,1 Millionen Fotos von Regierungs-IDs. Und am 14. Oktober hat 5CA, der Drittanbieter-Kundensupportdienst, den Discord für das Datenleck verantwortlich macht, (neues Fenster)bestritten, dass(neues Fenster) es staatlich ausgestellte Ausweise für Discord handhabte oder dass sein System gehackt wurde (während es auch zugab, dass der Vorfall möglicherweise auf menschliches Versagen zurückzuführen war).

Also warum hat Discord Fotos von Regierungs-IDs gesammelt?

Um das neue britische Gesetz zur Altersüberprüfung(neues Fenster) (und das kommende australische) zu erfüllen, hat Discord mit der Altersüberprüfung experimentiert(neues Fenster), indem entweder ein Gesichtsscan oder ein gescannter Ausweis (wie ein Reisepass oder Führerschein) verwendet wurde.

Typischerweise verlangte Discord ein Selfie eines Benutzers(neues Fenster) und verwendete dann Software, um das Foto zu scannen und das Alter zu schätzen. Discord würde das Foto dann am Ende des Prozesses löschen. Das System, das angeblich gehackt wurde, war Teil seines Beschwerdeverfahrens.

Wenn ein Benutzer das Gefühl hatte, zu Unrecht gesperrt worden zu sein, weil er zu jung war, konnte er ein Foto seines staatlich ausgestellten Ausweises senden, um zu helfen, sein Alter zu beweisen. Es sind diese Daten, die angeblich gestohlen wurden. Und angesichts der 200 Millionen aktiven Benutzer von Discord, selbst wenn nur ein kleiner Bruchteil von ihnen das Beschwerdeverfahren durchlaufen musste, sind das potenziell Millionen von IDs.

Dass eine Social-Media-Plattform, die hauptsächlich von Gamern genutzt wird, das Bedürfnis verspürt, diese Informationen zu sammeln, zeigt, wie weit die Ausweitung der Mission von Gesetzen zur Altersüberprüfung, deren erklärter Zweck es ist, Kinder vor Pornografie zu schützen, bereits fortgeschritten ist.

Wie du dich schützt

Dieses Datenleck ist eine weitere Erinnerung daran, dass wir oft gezwungen sind, sensible Daten mit wenig Einblick darin zu übergeben, wie sie gespeichert, gesichert oder geteilt werden. Während du Daten, die bereits geleakt wurden, nicht zurückrufen kannst, kannst du versuchen, die Kontrolle darüber zu übernehmen, welche Daten du zukünftig teilst. Hier ist wie:

• Überprüfe, wo deine sensiblen Daten sind: Wenn du deine sensiblen Daten teilen musstest (wie einen Ausweis), lies ihre Datenschutzerklärung. Wenn du dieses Konto nicht mehr nutzt, sieh nach, ob es eine Option gibt, deine Daten zu löschen.
• Nutze Dienste, die keine invasiven Daten erfordern: Dies wird schwieriger, aber Daten, die nie gesammelt wurden, können nicht geleakt werden. Wenn du einen Dienst benötigst, suche nach solchen, die transparent(neues Fenster) darüber sind, welche Daten sie sammeln, zu welchem Zweck und wie lange sie gespeichert werden.
• Halte das Teilen von Daten online auf einem Minimum: Selbst (oder angesichts der vielen jüngsten Angriffe, die sich auf Support-Portale konzentrieren, besonders) während Support-Interaktionen, teile keine unnötigen Informationen. Verwende ein VPN(neues Fenster) und E-Mail-Aliase, wann immer möglich.

Was dies für die Altersüberprüfung bedeutet

Das Bedürfnis, Kinder vor den vielen Online-Gefahren(neues Fenster) zu schützen, ist real, daher ist es verständlich, dass Regierungen auf der ganzen Welt, von der EU(neues Fenster) über Australien(neues Fenster) bis nach Kanada(neues Fenster), bestrebt sind, dem neu durchgesetzten Gesetz zur Altersüberprüfung des Vereinigten Königreichs zu folgen.

Ob solche Gesetze die beste Lösung für das Problem sind, ist offen für Debatten(neues Fenster), aber was sicher ist, ist, dass Datenlecks zu einem solchen täglichen Trommelschlag geworden sind, dass wir kaum noch Schlagzeilen über ein weiteres hochkarätiges Unternehmen bemerken, das Millionen von persönlichen Details von Menschen leakt.

Und es gab nie einen Grund anzunehmen, dass die einzigartig sensiblen Daten zur Altersüberprüfung gegen solche Leaks immun wären, ein Punkt, der durch diesen Vorfall dramatisch bewiesen wurde.

Das bedeutet, selbst wenn du Gesetze zur Altersüberprüfung im Prinzip befürwortest, sollten sie nicht implementiert werden, bevor wirklich sichere, dezentrale, offene Standardlösungen entwickelt und breit verfügbar gemacht wurden, die deine Privatsphäre wirklich respektieren.