Discord confirma exposição de 70.000 IDs em violação de dados
Discord confirma que 70.000 IDs de usuários foram expostos em violação de dados envolvendo documentos governamentais e suporte terceirizado.
O Discord anunciou recentemente que aproximadamente 70.000 usuários tiveram suas identidades e documentos governamentais expostos em uma violação de dados direcionada a um fornecedor terceirizado de atendimento ao cliente. A plataforma de mensagens, utilizada por mais de 200 milhões de pessoas em todo o mundo, afirmou que o incidente ocorreu em 20 de setembro de 2025, mas ressaltou que seus próprios sistemas internos não foram diretamente comprometidos.
Segundo o Discord, os documentos sensíveis enviados para verificação de idade foram acessados, incluindo nomes completos, endereços de e-mail, endereços IP e os últimos quatro dígitos de cartões de crédito de usuários que entraram em contato com o suporte. Um porta-voz da empresa, Nu Wexler, informou que todos os usuários afetados foram notificados e que a plataforma está trabalhando em conjunto com autoridades policiais, órgãos de proteção de dados e especialistas em segurança para lidar com a situação.
O grupo de hackers que assumiu a responsabilidade pelo ataque, identificado como “Scattered Lapsus$ Hunters”, afirmou ter acessado 1,5 terabytes de dados, incluindo mais de 2,1 milhões de fotos de documentos de identificação, durante 58 horas a partir do dia 20 de setembro. Eles tentaram extorquir a plataforma, exigindo um pagamento de US$ 3,5 milhões e ameaçando divulgar publicamente os dados. No entanto, o Discord contestou as alegações, afirmando que os números divulgados pelos criminosos são inflacionados e falsos, fazendo parte de uma tentativa de chantagem.
Imediatamente após a descoberta da violação, o Discord revogou o acesso do fornecedor comprometido aos seus sistemas de suporte e iniciou uma investigação completa com uma empresa de perícia forense digital. Embora a empresa não tenha divulgado oficialmente o provedor específico, especialistas em segurança indicam que o incidente envolveu a plataforma de suporte Zendesk.
O caso reacendeu o debate sobre as leis de verificação obrigatória de idade, que exigem que plataformas digitais coletem documentos de identidade governamentais. Críticos afirmam que esse tipo de exigência aumenta o risco de exposição de dados sensíveis, especialmente quando armazenados em sistemas de terceiros. Atualmente, o Discord solicita que usuários sinalizados como potencialmente menores enviem fotos segurando seus documentos de identidade apenas para validação, com a expectativa de que tais informações sejam excluídas após o processo.
O incidente ressalta a necessidade de segurança reforçada e políticas claras de proteção de dados para plataformas digitais, principalmente aquelas que lidam com informações pessoais altamente sensíveis.
