Утечка в Discord: хакеры получили доступ к личным данным десятков тысяч пользователей

Неприятные новости для пользователей Discord: злоумышленники взломали систему проверки возраста, и теперь под угрозой оказались личные данные около 70 000 человек.

Как сообщила BBC, 20 сентября 2025 года была скомпрометирована компания 5CA, которая предоставляет услуги поддержки Discord, в частности, рассматривает апелляции по подтверждению возраста.

Взлом продолжался 58 часов, и за ним, предположительно, стоят группы Scattered Spider, LAPSUS$ и ShinyHunters. Discord подтвердил факт утечки 2 октября 2025 года, заявив, что инцидент затронул около 70 000 пользователей по всему миру.

Какие данные оказались под угрозой?

В результате взлома хакеры получили доступ к следующим типам данных:

• Копии удостоверений личности, выданных государством (паспорта, водительские права и т.д.)
• Адреса электронной почты, полные имена, имена пользователей и контактные данные
• Ограниченная информация о платежах: типы используемых платежей, последние четыре цифры номеров карт и история покупок
• IP-адреса, сообщения в службу поддержки и внутренняя документация

К счастью, хакерам не удалось получить полные номера кредитных карт, CVV-коды, пароли и личные сообщения пользователей.

Первоначально хакеры заявляли, что получили доступ к более чем миллиону удостоверений личности, но Discord опроверг эту информацию, подтвердив, что было украдено около 70 000 документов.

Несмотря на то, что это число все еще велико, инцидент поднимает серьезные вопросы об использовании систем обязательной проверки возраста. В некоторых странах, таких как Великобритания, подобные проверки становятся все более распространенными на различных веб-сайтах.

Это вызывает опасения, что молодые пользователи могут начать посещать небезопасные сайты, где не требуется подтверждение личности, или использовать VPN для обхода ограничений.

Требования выкупа и реакция Discord

Хакеры потребовали у Discord выкуп, сначала в размере 5 миллионов долларов (~460 млн рублей), а затем снизили сумму до 3,5 миллионов долларов (~320 млн рублей). Discord отказался платить, переговоры проходили с 25 сентября по 2 октября 2025 года.

В своем заявлении компания подчеркнула: "Мы не будем поощрять тех, кто несет ответственность за эти незаконные действия". Discord отозвал доступ у 5CA, начал внутреннее расследование и уведомил соответствующие органы.

Если ваши данные были затронуты, Discord должен был отправить вам уведомление по электронной почте с адреса noreply@discord.com. Проверьте свою почту, если вы отправляли данные для подтверждения личности.

Последствия для законов о проверке возраста

Подобные инциденты могут стать обычным явлением, поскольку все больше стран требуют от пользователей подтверждения возраста в соответствии с новыми законами о безопасности в интернете.

В данном случае целью стала система апелляций Discord по проверке возраста. Пользователям, помеченным как несовершеннолетние, предлагалось отправлять фотографии удостоверений личности для подтверждения своего возраста. Эти заявки обрабатывались компанией 5CA, сторонним поставщиком.

Даже если Discord не обрабатывал эти данные напрямую, ситуация все равно вызывает тревогу. Конфиденциальность остается одной из главных причин, по которой люди выступают против обязательных проверок удостоверений личности. Многие не против предоставить свои документы по собственному желанию, но когда это становится обязательным требованием, это вызывает дискомфорт.

Насколько известно, это первая крупная атака, связанная с инфраструктурой проверки возраста, и она произошла вскоре после внедрения таких систем. К счастью, платежная информация не была скомпрометирована, но это поднимает серьезный вопрос: когда это произойдет в следующий раз? Даже без этого мысль о том, что хакеры обладают тысячами удостоверений личности и IP-адресами, вызывает беспокойство.

Discord продолжает сотрудничать с правоохранительными органами. На данный момент украденные данные не были опубликованы, хотя хакеры угрожали сделать это, если их требования не будут выполнены.

Стоит ли игра свеч? Возможно, конфиденциальность уходит в прошлое, но взамен мы должны получить лучшую защиту в интернете. Пока неясно, смогут ли компании, включая Discord, обеспечить безопасность этих данных.

Мнение редакции MSReview:

Данный инцидент подчеркивает серьезные риски, связанные с централизацией личных данных для целей проверки возраста. Необходимо тщательно оценивать баланс между безопасностью пользователей и защитой их конфиденциальности. Компании должны нести ответственность за обеспечение безопасности данных, которые они собирают, и должны быть готовы к последствиям в случае утечек.