Possível vazamento de documentos de identidade de 70 mil usuários do Discord

 (theverge.com)
1 pontos por GN⁺ 2025-10-09 | 1 comentários | Compartilhar no WhatsApp
  • O Discord informou que, devido a um incidente de segurança em uma empresa terceirizada de suporte ao cliente, fotos de documentos de identidade emitidos pelo governo de cerca de 70 mil usuários podem ter ficado expostas
  • Este incidente ocorreu em um fornecedor de serviços externo, e não nos sistemas do próprio Discord
  • Os invasores tentaram extorquir financeiramente o Discord, divulgando números exagerados maiores que a escala real do incidente
  • Todos os usuários afetados receberam notificação direta individual, e o Discord está colaborando de perto com as autoridades policiais e outras entidades
  • A empresa encerrou o contrato com o fornecedor afetado e implementou imediatamente medidas reforçadas de segurança

Visão geral do incidente de segurança

  • O Discord compartilhou uma posição oficial sobre um incidente de segurança ocorrido recentemente em uma empresa terceirizada de atendimento ao cliente
  • Como os autores do ato ilegal estão espalhando informações falsas online e alegações exageradas (inflando o número de vítimas), isso tem gerado confusão

A natureza do incidente

  • O alvo do ataque não foram os sistemas do próprio Discord, mas sim os sistemas de uma empresa externa usados para suporte ao atendimento ao cliente
  • Devido à exposição de dados da empresa externa, houve a possibilidade de exposição de fotos de documentos de identidade emitidos pelo governo de até cerca de 70 mil usuários
  • Essas informações de identidade eram usadas principalmente para verificação de idade e tratamento de recursos relacionados a restrições etárias

Resposta do Discord

  • A notificação individual a todos os usuários afetados já foi concluída
  • O Discord continua colaborando com autoridades policiais, autoridades de proteção de dados e especialistas externos em segurança
  • A empresa encerrou imediatamente o contrato com a fornecedora externa onde ocorreu o incidente
  • As medidas de segurança desse sistema foram reforçadas

Posição adicional do Discord

  • A empresa enfatizou que não tem qualquer intenção de negociar (ou recompensar) as alegações falsas e os atos ilegais das partes que fizeram as ameaças
  • Também afirmou que leva muito a sério sua responsabilidade com a proteção de dados pessoais e entende as preocupações dos usuários

Leituras relacionadas

1 comentários

 
GN⁺ 2025-10-09
Comentários do Hacker News

  • Acho que virei uma pessoa cínica e cética, mas isso já nem me surpreende mais. Se você entrega seus dados pessoais para alguém, hoje em dia é melhor assumir que todo mundo vai acabar tendo acesso a eles. Mesmo que o serviço diga nos TOS que “não vende informações a terceiros”, no fim sempre vai haver alguma falha de segurança em algum lugar e os dados vão vazar. Não acho que isso seja culpa de uma empresa só, mas sim um problema sistêmico em que os governos não criam nem fazem cumprir medidas fortes de segurança. Já desisti da expectativa de que meus dados pessoais serão protegidos, e qualquer coisa realmente importante e que eu queira manter privada eu simplesmente não digitalizo para começo de conversa, nem permito que seja copiada

    • O motivo de isso ser noticiado não é para surpreender as pessoas, e sim porque é uma questão importante. Mais governos estão aprovando leis de verificação de idade, e é exatamente esse tipo de dado que está indo parar nas mãos de mais empresas privadas arriscadas. Este vazamento é uma prova de que essas leis estão erradas, e divulgar amplamente o caso pode ajudar a mudar a percepção pública

    • A origem do problema é o governo. Foi o governo que obrigou as empresas a exigir documento de identidade dos clientes, e é por isso que esse problema existe. Não há nenhuma medida de segurança realmente eficaz além de simplesmente não coletar esses dados. O governo nem sequer consegue propor uma solução de segurança adequada. Agora é bem possível que esses dados nunca mais sejam apagados de verdade, independentemente de o Discord pagar ou não por isso

    • O motivo de isso não surpreender ninguém é que não houve punições sérias. As pessoas ficaram anestesiadas por causa de grandes vazamentos, então quase nunca há uma resposta adequada. E também pesa o fato de que é difícil aprovar leis que realmente contrariem os interesses das grandes empresas

    • O mais absurdo é que a responsabilidade sempre recai sobre o indivíduo, que tem de ficar ansioso e hipervigilante, enquanto os sistemas que lidam com os dados não sofrem praticamente nenhuma consequência ou punição

    • A verificação de identidade com Zero Knowledge deve se tornar comum no dia a dia o quanto antes. Já existem tecnologias que permitem verificar identidade ou idade sem revelar dados pessoais, mas é frustrante que ainda vá levar muito tempo até isso se tornar algo amplamente adotado

  • O grande problema mais ignorado é a falta de transparência das empresas terceiras que lidam com documentos sensíveis. Sempre que ocorre um vazamento, as empresas não deixam claro qual fornecedor realmente tratava os dados. Por causa dessa opacidade, o usuário não tem como saber onde suas informações ficaram armazenadas, e na prática não há nem oportunidade de fiscalizar essas empresas nem de elas serem fiscalizadas. Enquanto essa camada não for regulada, os vazamentos vão continuar e a responsabilização seguirá nebulosa

    • Essa camada de terceiros é a “matéria escura” do ecossistema de vazamentos de dados. Para o usuário, ela não tem forma concreta; as empresas quase não a mencionam; e, quando algo dá errado, ela raramente assume responsabilidade de verdade

  • O Discord usa Zendesk(referência). Mas, nesta nota oficial, não disseram qual foi o terceiro comprometido, e a Zendesk afirmou que não foi o serviço deles. Então fica a dúvida de que outro fornecedor terceirizado o Discord estava usando, e de quem exatamente estão tentando proteger a reputação

  • Não entendo por que estariam armazenando documentos de identidade. Bastaria concluir a verificação de idade; por que continuar guardando isso? Empresas assim deveriam ser obrigadas a divulgar corretamente os detalhes do incidente, como fazem Google ou Cloudflare

  • Em geral, as empresas prometem que usam o documento só para verificação e depois o apagam imediatamente. Então como tantos documentos acabam vazando? Fico me perguntando se realmente estão validando milhões deles por mês

    • A mensagem de orientação do Discord (na Austrália) diz: “As informações fornecidas serão usadas apenas para confirmar sua faixa etária e serão excluídas imediatamente após a verificação”(veja a captura de tela). Eu ainda não enviei o meu, mas já estou pensando em como seria possível enganar o processo de reconhecimento facial. Não quero fornecer um documento oficial a um app de chat, em nenhuma escala. E, sinceramente, acho que a classificação de idade poderia ser só “13 a 18 anos” e “18 anos ou mais”. Qualquer segmentação além disso parece servir apenas para marketing e análise de dados

    • Em uma declaração oficial anterior, disseram que “uma pequena quantidade de imagens de documentos oficiais de usuários que solicitaram uma ‘reavaliação de idade’ foi visualizada por uma pessoa não autorizada”(fonte). Nesse caso, pode ser necessário manter o documento por algum tempo por causa do processo de recurso. Como esses recursos levam muito tempo para serem processados, talvez os documentos tenham ficado armazenados por mais tempo e acabado vazando

    • Ou a exclusão imediata prometida era mentira, ou o terceiro terceirizado estava retendo os dados separadamente

    • Pelas regras, empresas de verificação de identidade podem armazenar informações de documentos por até 3 anos. Elas também usam esses dados no treinamento de machine learning para segurança e detecção de fraude

    • Fico curioso para saber se os TOS realmente dizem que os dados serão apagados, e com que rapidez isso é descrito de forma concreta. Termos como “imediatamente” ou “em breve” podem ser interpretados de maneiras bem diferentes se não estiverem claramente definidos no contrato, e em alguns casos o governo pode até exigir legalmente a retenção dos dados

  • Acho que mais governos deveriam oferecer sistemas como o documento eletrônico alemão (eID), com o qual você consegue provar apenas sua idade. É algo realmente necessário, mas é uma pena que na prática seja difícil de usar e pouco adotado

    • A Bélgica tem um serviço chamado “itsme”. Ele existe há bastante tempo; começou mais voltado ao governo, mas agora muitos bancos também adotaram

    • O eID alemão não é apenas inconveniente; também não é fácil nem barato de integrar aos serviços. Parece até ter sido feito com a intenção de empurrar as empresas para sistemas comerciais (soluções pagas)(mais detalhes)

  • Enviar um documento oficial para o Discord é idiotice

    • No Reino Unido, para cumprir o Online Safety Act, é preciso provar sua identidade ao Discord para acessar canais de liberdade de expressão para maiores de 13 anos

    • É comum ser banido por ser considerado menor de 13 anos. Por exemplo, alguém pergunta quantas velas aparecem numa foto, você responde, e depois a conversa é editada para parecer que a pergunta era “quantos anos você tem?”, fazendo sua resposta parecer uma idade. O Discord é como o antigo MSN Messenger ou Yahoo IM, e toda a sua rede social digital e histórico de servidores dependem dessa única conta. Se você perde a conta, perde os amigos e as comunidades junto, então as informações do documento deveriam ser completamente apagadas uma semana após a verificação, ou removidas de vez pelo painel da conta

    • Culpar o usuário não é correto. A empresa criou essa política por exigência da legislação e força a verificação de que a pessoa tem 18 anos ou mais. Eu mesmo tentei usar reconhecimento facial por IA para me verificar, mas não funcionou de jeito nenhum, então acabei seguindo a recomendação e entrei em contato com o suporte. Fiz o upload porque a política oficial do Discord dizia que “apagaria o documento imediatamente após a verificação”(política) (política de exclusão). Mas o Discord não conseguiu apagar como prometido e acabou sofrendo o vazamento. A responsabilidade total é do terceiro, do Discord por lidar com os dados de forma descuidada e do governo por impor esse tipo de política. Pessoas como nós, que entendem de tecnologia, talvez consigam recorrer a self-hosting ou encontrar caminhos alternativos com facilidade, mas o público em geral não consegue. Espero que este caso sirva de impulso para resistir a essas políticas obrigatórias de verificação no futuro. Mas o governo britânico provavelmente vai gritar “proteger as crianças” e jogar toda a culpa no Discord

    • Já tenho minha CNH, passaporte e outros documentos cadastrados em várias corretoras de cripto. É a realidade, não tem muito como escapar, e em KYC de verdade o procedimento de verificação por vídeo também é obrigatório

  • A desculpa de “foi culpa de um terceiro” já virou um padrão comum demais. Se você coleta informações tão sensíveis quanto documentos oficiais, a segurança relacionada a isso precisa ser de altíssimo nível, independentemente de em cujas mãos os dados estejam

  • Pergunta sincera: depois que a verificação de idade termina, esse armazenamento de dados ainda é legalmente exigido?

    • Esse é justamente o ponto mais estranho neste caso. Não entendo por que alguém assumiria essa responsabilidade. Se realmente precisar armazenar isso, então deve ser mantido em um serviço totalmente separado, com acesso extremamente restrito e partindo do princípio de que um vazamento seria desastroso

    • Trabalho em outro setor, mas quando preciso verificar identidade eu extraio apenas os metadados no momento em que a informação é exibida e descarto a imagem logo em seguida. Armazenar esse tipo de imagem a longo prazo sem aprovação do jurídico seria, em geral, algo impensável, e ainda mais sem justificativa em verificações simples como idade ou nome

    • Não é necessariamente certo que eles armazenavam isso; talvez seja só especulação sem base. Neste vazamento, os dados podem ter sido capturados em tempo real durante o processamento, e não a partir de um repositório estático armazenado permanentemente

    • Meu palpite é que talvez tenham guardado algumas imagens originais de documentos para auditoria de contas duplicadas. Se um modelo de machine learning suspeitar que duas contas pertencem à mesma pessoa, isso poderia ser comparado com as imagens originais para confirmar a duplicidade

    • Na UE (União Europeia), na verdade é o contrário. Por causa do GDPR, deve-se usar o mínimo de dados possível e é proibido reutilizá-los para outras finalidades; por exemplo, dados enviados para verificação de idade devem ser apagados obrigatoriamente após a validação

  • A Zendesk se gaba de que “o Discord está oferecendo suporte contínuo com o investimento em autoatendimento com IA da plataforma Zendesk CX”