Discord vor kurzem eine Datenpanne aufgedeckt das ist anders als bei den üblichen Passwortlecks – es handelt sich dabei um echte Regierungsausweise. Anfang Oktober 2025 gab Discord bekannt, dass Hacker eines davon kompromittiert hatten Drittanbieter des Kundensupports, Offenlegung sensibler Daten von Benutzern der um Hilfe gebeten hatte. Das war nicht ein Verstoß gegen die Hauptserver von Discord; Vielmehr wurde ein Subunternehmer gehackt, der Support-Tickets (einschließlich Einsprüche zur Altersüberprüfung) bearbeitete.
Laut Discord ca 70.000 Benutzer weltweit Personen, die zum Nachweis ihres Alters Lichtbildausweise vorgelegt hatten, wurden möglicherweise diese Ausweisbilder gestohlen. Zusätzlich zu den Ausweisfotos (z. B. Reisepässe, Führerscheine) erbeuteten die Angreifer auch Benutzernamen, E-Mail-Adressen, Teilzahlungsinformationen, IP-Adressen und sogar Nachrichten von Benutzern mit Supportmitarbeitern. Die Hackergruppe (die sich selbst „Scattered Lapsus$ Hunters“ nennt) verlangte ein Lösegeld als Gegenleistung dafür, dass sie die Daten nicht preisgab. Discord sofort Wir haben dem Verkäufer den Zugang gesperrt und die Strafverfolgungsbehörden alarmiert, aber der Schaden ist angerichtet: Kopien von Tausenden von Ausweisen sind jetzt im Umlauf.
Stellen Sie sich eine vermummte Gestalt mit einem Discord-Logo als Gesicht vor – dieses unheimliche Bild fängt die Realität dieses Verstoßes ein. Bei den gestohlenen Daten handelt es sich nicht nur um Benutzernamen oder gehashte Passwörter, die Sie zurücksetzen können. es ist dein Echter Ausweis. Das Aufbewahren und Aushändigen einer Kopie Ihres Reisepasses oder Führerscheins ist erforderlich nicht das Gleiche wie die Verwendung eines Passworts.
Sobald ein Passwort durchgesickert ist, können Sie es ändern. Wenn jedoch ein amtlicher Lichtbildausweis aufgedeckt wird, können Sie nicht einfach eine neue Sozialversicherungsnummer oder ein neues Passfoto erhalten. Sicherheitsexperten warnen dass solche sensiblen ID-Daten, sobald sie in freier Wildbahn sind, zu Treibstoff führen können Identitätsdiebstahl, Erpressung, Phishing oder Identitätsdiebstahl jahrelang.
„Altersverifizierungssysteme sind Überwachungssysteme“, stellt die Electronic Frontier Foundation unverblümt fest: Obligatorische ID-Uploads bedeuten, dass gegen diese Systeme verstoßen wird nicht hypothetisch – es ist eine Frage des Zeitpunkts. In der Praxis könnten sich Kriminelle mit Ihren Ausweisbildern online oder persönlich als Sie ausgeben, Kreditlinien eröffnen oder Dokumente in Ihrem Namen beantragen.
Sie könnten sogar Ihren Lichtbildausweis verwenden, um Deepfake-Profile zu erstellen oder Gesichtserkennungsprüfungen an anderer Stelle zu umgehen. Wie ein Datenschutzanalyst es ausdrückt: Sobald man zum Entsperren des Internets seinen Ausweis vorzeigt, „besteht für Benutzer keine Möglichkeit mehr, anonym oder ohne Identifizierung auf das Internet zuzugreifen“.
Dieser Vorfall zeigt auch, dass Drittanbieter das schwächste Glied sein können im Bereich Online-Sicherheit. Discord selbst betont, dass die eigenen Systeme nicht gehackt wurden, sondern sich Angreifer über einen ausgelagerten Kundensupportanbieter eingeschlichen haben. In diesem Fall gehen die Ermittler davon aus, dass die Hacker ein gestohlenes Support-Agenten-Login bei dieser externen Firma genutzt haben, um in die Ticketdaten von Discord einzudringen. Analyse von Bitdefender Der Verstoß warnte kurz und bündig, dass „Drittanbieter ein schwaches Glied in Ihrer Sicherheitskette sein können“.
Wir haben das schon einmal gesehen: Discord hat einen ähnlichen Support-Ticket-Hack im Jahr 2023 offengelegt, als ein einzelnes Agentenkonto kompromittiert wurde und E-Mails und Support-Nachrichten der Benutzer durchsickerten. Im weiteren Sinne handelt es sich um ein bekanntes Muster in der Technik: Angreifer zielen häufig auf kleinere Auftragnehmer (wie Support-Teams oder Identitätsprüfungsdienste) ab, weil diese tendenziell über weniger sichere Systeme verfügen.
Ein Support- oder Altersverifizierungsanbieter speichert möglicherweise Unmengen hochsensibler Daten (IDs, Telefonnummern, unverschlüsselte Chats) ohne den robusten Schutz der Kernserver eines großen Unternehmens. Sobald diese Systeme angegriffen werden, können alle sensiblen Benutzerinformationen massenhaft abgekratzt werden.
Eine weitere hässliche Wahrheit, die dieses Leck ans Licht bringt, ist die Schwachstelle moderner Altersverifizierungssysteme. Aufgrund der Altersüberprüfungsanforderungen in verschiedenen Gerichtsbarkeiten forderte Discord Benutzer auf, Lichtbildausweise hochzuladen. Zum Beispiel, das britische Online Safety Act (in Kraft getreten im Jahr 2024) schreibt strenge Altersprüfungen für Online-Inhalte vor. Wie das Register feststellt, zwingen die britischen Vorschriften Plattformen nun dazu, das Alter der Benutzer durch Methoden wie Gesichtsscans oder Ausweisüberprüfung zu überprüfen. „ohne Erhebung oder Speicherung personenbezogener Daten, es sei denn, dies ist unbedingt erforderlich“.
In der Praxis lagern viele Unternehmen dies an Firmen aus, die Benutzer-IDs sammeln. Auf der Discord-eigenen Hilfeseite werden zwei Methoden beschrieben: entweder ein Selfie des Benutzers mit seinem Ausweis (wird im Discord-eigenen Support-Workflow behandelt) oder eine automatisierte Überprüfung über einen Dienst namens k-ID (von dem Discord behauptet, dass er nur „Altersüberprüfungsergebnisse“ zurückgibt und das Bild nicht speichert). In diesem Verstoß das Problem scheint stammen vermutlich von der ersten Methode: den Kopien der Ausweise, die die Leute per E-Mail an Discord geschickt haben.
Dieser Vorfall unterstreicht einen einfachen Punkt: Es ist gefährlich, online einen amtlichen Ausweis vorzuschreiben. Altersüberprüfungsgesetze im Vereinigten Königreich, in den USA und anderswo sollten Minderjährige schützen, haben aber häufig den Nebeneffekt, dass sie die Konzentration beeinträchtigen hochwertige Daten an ein paar Stellen. In den USA haben fast die Hälfte der Bundesstaaten Gesetze erlassen oder erwogen, die eine Online-Altersüberprüfung vorschreiben (so wurde beispielsweise das Gesetz von Texas, das Pornoseiten zur Überprüfung des Alters der Nutzer verpflichtet, sogar vom Obersten Gerichtshof bestätigt).
Diese Regeln zwingen Websites und Apps dazu, von Benutzern unter 18 Jahren (oder für Inhalte für Erwachsene) einen Ausweis in irgendeiner Form zu verlangen. Datenschützer warnen, dass dadurch riesige Honeypots entstehen. Wie Tom McBrien von EPIC erklärt, müssen Menschen einen Lichtbildausweis vorzeigen „führt zu Datenschutzbedrohungen, die bei anderen Verifizierungsmethoden – wie der Bestätigung des Kreditkartenbesitzes – nicht auftreten“.
Mit anderen Worten: Ja, es gibt Möglichkeiten, das Alter zu überprüfen, ohne persönliche Dokumente herauszugeben, aber Gesetze zur Altersüberprüfung erfordern oft implizit das Hochladen eines amtlichen Ausweises oder die Angabe vertraulicher persönlicher Daten. Das argumentiert die Electronic Frontier Foundation beliebig Eine Form der Online-Altersüberprüfung wird zu einem Überwachungsnetzwerk: Wenn Gesetze jede Website für Erwachsene dazu zwingen, Ausweise zu sammeln, werden die Leute bald ihren Führerschein an Dutzende von Unternehmen weitergegeben haben. Und ein Verstoß gegen eines dieser Unternehmen bedeutet, dass Ihre Daten verloren gehen.
Globale Regulierungstrends weisen ähnliche Datenschutz-Fallstricke auf. Im Vereinigten Königreich ist die Online-Sicherheitsgesetz (durchgesetzt ab Mitte 2025) erfordert nun „starke Altersprüfungen“ auf Websites mit Inhalten für Erwachsene, was Plattformen dazu veranlasst hat, neue Systeme zur Identitätsprüfung zu entwickeln. Aber wie der Fall von Discord zeigt, können diese Systeme spektakulär nach hinten losgehen. Einige britische Teenager haben bereits Macken oder Problemumgehungen bei der Umsetzung im Vereinigten Königreich entdeckt, was die Fragilität des Gesetzes verdeutlicht. In den Vereinigten Staaten haben Staaten wie Florida, Utah und andere Gesetze erlassen, die Social-Media-Unternehmen dazu verpflichten, das Alter der Nutzer zu überprüfen oder bei Minderjährigen die Zustimmung der Eltern einzuholen.
Das Ziel ist die Sicherheit von Kindern, aber Kritiker weisen darauf hin, dass dadurch Unternehmen effektiv dazu gedrängt werden, mehr identifizierende Informationen zu sammeln. Bundesgesetzgeber schlagen außerdem Gesetzesentwürfe vor (z. B. den Kids Online Safety Act), die die Altersüberprüfungen auf riesigen Plattformen ausweiten würden; Die Electronic Frontier Foundation hat diese Gesetzesentwürfe als wahrscheinlich kritisiert Mandat ID-Sammlung, die jede soziale App zu einem potenziellen Ziel für Datenschutzverletzungen macht.
Mittlerweile in Indien Der Trend zu digitalen Ausweisen ist in vollem Gange. Indiens Aadhaar-System – die weltweit größte biometrische ID-Datenbank mit 1,4 Milliarden Menschen – wurde kürzlich für Authentifizierungszwecke für Privatunternehmen geöffnet. Beispielsweise können Unternehmen aus den Bereichen E-Commerce, Reisen und sogar soziale Medien jetzt im Rahmen der Anmeldung Ihre Aadhaar-Identität (Fingerabdruck oder Gesichtsscan) überprüfen.
Dies hat jedoch zu erheblichen Datenschutzbedenken geführt. Technologieanalysten stellen fest, dass Aadhaar bereits gelitten hat massive Datenlecks Im letzten Jahrzehnt wurden personenbezogene Daten von Dutzenden oder sogar Hunderten Millionen Benutzern offengelegt.
Eins Dem Bericht zufolge wurden bei einem Verstoß Ausweisdaten von bis zu 85 % der Inder offengelegt. Kritiker befürchten, dass es sich bei der Verknüpfung aller Daten mit einer zentralen ID um eine „Überwachungsarchitektur“ handelt, bei der ein Hack oder Missbrauch durch einen Anbieter ganze Teile der Bevölkerung enttarnen könnte. Tatsächlich warnte ein Anwalt des Obersten Gerichtshofs, dass biometrische IDs zentralisiert werden sollten vermieden und niemals in andere Datenbanken übernommen. Doch trotz dieser Warnungen weitet Indien die Nutzung digitaler Ausweise aus – ein warnendes Beispiel dafür, was schief gehen kann, wenn Unternehmen (oder Regierungen) echte Ausweise für den Online-Zugriff verlangen.
Was können Technologieunternehmen anders machen? Die erste Lektion ist Datenminimierung. Wenn das Alter überprüft werden muss, sollten Plattformen versuchen, so wenig Daten wie möglich zu sammeln. Beispielsweise speicherte das automatisierte System von Discord (k-ID) nur das Ergebnis „verifiziert/nicht verifiziert“ und nicht das Foto selbst. Im Idealfall würden Unternehmen nur das Alter eines Benutzers bestätigen, ohne jemals das tatsächliche Ausweisbild oder den Geburtstag zu speichern. Ein vielversprechender Ansatz ist kryptografische Zero-Knowledge-Beweise: Ein Benutzer könnte durch kryptografische Mittel nachweisen, dass er „18 Jahre oder älter“ ist, ohne ein Geburtsdatum oder einen ID-Scan zu senden. Als Hinweise für PC-Spielerwürden solche Methoden „als Garantie dienen, dass ein Benutzer über einem bestimmten Alter ist, ohne irgendwelche identifizierenden Informationen anzugeben“.
Wo Daten muss gesammelt werden, sollten sie gesperrt werden: im Ruhezustand stark verschlüsselt, zugriffsbeschränkt und ständig überprüft. Anbieter, die mit IDs umgehen, sollten strenge „Zero Trust“-Standards einhalten – das heißt, ihre Systeme gelten als nicht vertrauenswürdig, sofern sie sich nicht als sicher erweisen. Unternehmen sollten alle Drittanbieter, die über Benutzerdaten verfügen, regelmäßig prüfen und einem Penetrationstest unterziehen, und jeden Anbieter, der sich als gefährdet erweist, sofort ausschließen. Discord selbst sagt, dass es seine Drittsysteme „häufig prüfen“ wird, um Sicherheitsstandards zu erfüllen. Regierungen können helfen, indem sie strenge Datenschutzgesetze durchsetzen: Experten fordern Anforderungen zur Datenminimierung und hohe Strafen bei Verstößen. Mit anderen Worten: Wenn das Gesetz Altersüberprüfungen vorschreibt, sollte es auch vorschreiben, dass Unternehmen Daten wie Gold schützen (und Benutzer umgehend über jedes Leck benachrichtigen).
Schließlich müssen Benutzer und politische Entscheidungsträger dies tun Überdenken Sie die Gewohnheit, Identität gegen Online-Zugriff einzutauschen. Jedes Mal, wenn eine Plattform fragt: „Zeigen Sie mir Ihren Ausweis“, sollte dies ein Warnsignal sein. Wie ein Datenschützer es ausdrückte, „fordern Websites, die Sie zur Vorlage eines Ausweises zwingen“, „Ärger“. Wir sollten uns fragen: Müssen wir wirklich unseren echten Ausweis herausgeben, nur um mit Freunden zu chatten, Spiele zu spielen oder Videos anzusehen? Lösungen wie Kindersicherung, Altersprüfung per Kreditkarte oder auch einfache Selbstauskünfte können manchmal sicherer sein als die Herausgabe eines Passscans.
Der jüngste Verstoß gegen Discord ist ein Warnschuss: Ihr digitales Leben ist zunehmend an Ihre physische Identität gebundenund dass Daten noch sorgfältiger geschützt werden müssen als ein Passwort. Passwort-Manager werden Sie nicht retten, wenn eine Kopie Ihres Führerscheins im Darknet verfügbar ist. Identitätsexperten warnen vor langfristigen Konsequenzen: Sobald diese Fotos durchsickern, drohen Ihnen Kreditbetrug und möglicherweise sogar das Einfrieren Ihrer Identität bei Banken und Kreditauskunfteien. Zusamenfassend, Ihre ID ist kein Passwort, das Sie zurücksetzen können. Hacker brauchen nur einen gestohlenen Ausweis, um Chaos anzurichten, während Sie jedes Mal, wenn Sie Ihren Ausweis auf einer Website weitergeben, perfekt sein müssen. Wenn wir uns weiterhin auf Online-Dienste konzentrieren, die einen „Nachweis“ darüber verlangen, wer wir sind, ist das Risiko jedes Verstoßes um ein Vielfaches höher.
