Eine kürzliche Sicherheitslücke bei Discord, der weit verbreiteten Kommunikationsplattform, hat die persönlichen Daten von etwa 70.000 Benutzern kompromittiert. Zu den gestohlenen Informationen gehören sensible, von der Regierung ausgestellte Ausweisfotos, die im Rahmen von Altersüberprüfungen eingereicht wurden. Dieser Vorfall verdeutlicht die wachsenden Risiken im Zusammenhang mit Online-Identitätsprüfungsprozessen und die Schwachstellen von Drittanbietern.
Wie es zu dem Verstoß kam
Die Kompromittierung ging von einem externen Kundensupportanbieter aus, der Zugriff auf Benutzerdaten für altersbezogene Einsprüche hatte. Discord erfordert, dass Benutzer mindestens 13 Jahre alt sind (mit strengeren Altersgrenzen für bestimmte Inhalte) und nutzt die Identitätsprüfung, um diese Regeln durchzusetzen. Hacker hatten diesen Anbieter ins Visier genommen und eine erhebliche Menge an persönlichen Daten mit der Absicht der Erpressung entwendet.
Discord behauptet, die Angreifer hätten rund 70.000 Ausweisfotos gestohlen, aber die Cybersicherheitsgruppe VX-Underground berichtet, dass die tatsächliche Exfiltration weitaus größer sein könnte – über 1,5 Terabyte an Daten, darunter über 2,1 Millionen Bilder. Discord bestreitet diese Zahlen und bezeichnet sie als Teil eines Erpressungsversuchs. Unabhängig von der genauen Zahl ist der Verstoß erheblich.
Was wurde gestohlen?
Zu den kompromittierten Daten gehörten neben Ausweisfotos auch Namen, Benutzernamen, E-Mail-Adressen und Kontaktdaten des Kundensupports. Es wurden auch begrenzte Rechnungsinformationen – die letzten vier Ziffern der Kreditkartennummern – erfasst, vollständige Kartendetails und Sicherheitscodes jedoch nicht. Entscheidend ist, dass Passwörter und Authentifizierungsdaten sicher blieben.
Diese Art von Diebstahl wird wahrscheinlich häufiger vorkommen, da immer mehr Plattformen strenge Gesetze zur Altersüberprüfung einführen und von den Benutzern die Übermittlung sensibler Dokumente verlangen. Sobald diese IDs in Datenbanken gespeichert sind, werden sie zu attraktiven Zielen für Hacker.
Discords Antwort und Benutzerauswirkungen
Discord hat dem Drittanbieter den Zugriff entzogen und behauptet, mit den Strafverfolgungsbehörden zusammenzuarbeiten. Das Unternehmen kontaktiert betroffene Benutzer über [email protected] und warnt vor unerwünschten Telefonanrufen. Einige Benutzer berichten jedoch, dass ihre Anfragen zur Altersverifizierung wochenlang ignoriert wurden, nur um anschließend über den Verstoß informiert zu werden.
„Discord hat mein Ticket zur Identitätsprüfung zwei Wochen lang ignoriert, nur um mir mitzuteilen, dass dasselbe Ticket in einen Datenverstoß verwickelt war“, schrieb ein Reddit-Benutzer.
Der Vorfall unterstreicht den Kompromiss zwischen Plattformsicherheit und Datensicherheit. Benutzer, die Ausweise eingereicht haben, sind nun einem erhöhten Risiko von Identitätsdiebstahl oder -betrug ausgesetzt.
Was Benutzer tun sollten
Derzeit können Benutzer ihre Konten nur auf verdächtige Aktivitäten überwachen und die Zwei-Faktor-Authentifizierung aktivieren, sofern diese nicht bereits aktiv ist. Der Verstoß unterstreicht die Notwendigkeit besserer Sicherheitspraktiken bei Drittanbietern und strengerer Datenschutzmaßnahmen durch Plattformen wie Discord.
Dieser Vorfall erinnert eindringlich daran, dass selbst scheinbar sichere Plattformen anfällig für Sicherheitsverletzungen sind, insbesondere wenn sie auf externe Dienste angewiesen sind. Die Zukunft der Online-Altersüberprüfung erfordert einen robusteren Ansatz zum Schutz von Benutzerdaten vor Missbrauch.
