Möglicher Leak von Ausweisdaten von 70.000 Discord-Nutzern

 (theverge.com)
1 Punkte von GN⁺ 2025-10-09 | 1 Kommentare | Auf WhatsApp teilen
  • Discord hat bekannt gegeben, dass durch einen Sicherheitsvorfall bei einem Drittanbieter für den Kundensupport Fotos von amtlich ausgestellten Ausweisen von rund 70.000 Nutzern offengelegt worden sein könnten
  • Der Vorfall ereignete sich nicht in den Systemen von Discord selbst, sondern bei einem externen Dienstleister
  • Die Angreifer verbreiteten übertriebene Zahlen über das tatsächliche Ausmaß hinaus und versuchten, Discord finanziell zu erpressen
  • Alle betroffenen Nutzer wurden direkt individuell informiert, und Discord arbeitet eng mit Strafverfolgungsbehörden und anderen Stellen zusammen
  • Discord hat den Vertrag mit dem betroffenen Dienstleister beendet und umgehend Maßnahmen zur Verbesserung der Sicherheit umgesetzt

Überblick über den Sicherheitsvorfall

  • Discord hat eine offizielle Stellungnahme zu einem jüngsten Sicherheitsvorfall bei einem Drittanbieter für den Kundenservice veröffentlicht
  • Da die Täter Falschinformationen im Internet und übertriebene Behauptungen, etwa zur Zahl der Betroffenen, verbreiten, ist Verwirrung entstanden

Kern des Vorfalls

  • Ziel des Angriffs war nicht das System von Discord selbst, sondern das System eines externen Anbieters, das zur Unterstützung des Kundenservice genutzt wird
  • Durch die Datenoffenlegung beim externen Anbieter könnten Fotos von amtlich ausgestellten Ausweisen von bis zu rund 70.000 Nutzern offengelegt worden sein
  • Die betreffenden Ausweisdaten wurden vor allem für die Altersverifikation und die Bearbeitung von Einsprüchen bei Altersbeschränkungen verwendet

Reaktion von Discord

  • Alle betroffenen Nutzer wurden bereits individuell informiert
  • Discord arbeitet weiterhin mit Strafverfolgungsbehörden, Datenschutzaufsichtsbehörden und externen Sicherheitsexperten zusammen
  • Der Vertrag mit dem externen Anbieter wurde sofort beendet
  • Die Sicherheitsmaßnahmen für das betreffende System wurden verstärkt

Weitere Stellungnahme von Discord

  • Discord betont, dass keinerlei Bereitschaft zu Verhandlungen oder Entschädigungszahlungen gegenüber den Drohenden wegen deren falscher Behauptungen und illegalen Handlungen besteht
  • Das Unternehmen nehme seine Verantwortung für den Schutz personenbezogener Daten sehr ernst und verstehe die Sorgen der Nutzer

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-10-09
Hacker-News-Kommentare

  • Ich bin inzwischen wohl zynisch und skeptisch geworden, aber so etwas überrascht mich überhaupt nicht mehr. Wenn man jemandem persönliche Daten gibt, gehe ich mittlerweile einfach davon aus, dass am Ende alle Zugriff darauf haben. Selbst wenn ein Dienst in den TOS ausdrücklich schreibt, dass er die Informationen nicht an Dritte verkauft, wird es letztlich irgendwo eine Sicherheitslücke geben und die Daten werden abfließen. Ich denke, das ist nicht das Versagen eines einzelnen Unternehmens, sondern ein systemisches Problem, weil Regierungen keine starken Sicherheitsmaßnahmen schaffen oder durchsetzen. Ich erwarte inzwischen gar nicht mehr, dass persönliche Daten geschützt werden, und wirklich wichtige Informationen, die privat bleiben sollen, digitalisiere ich von vornherein nicht und erlaube auch niemals Kopien davon

    • Dass darüber berichtet wird, hat nicht den Zweck, Menschen zu überraschen, sondern weil es ein wichtiges Thema ist. Immer mehr Regierungen verabschieden gerade Gesetze zur Altersverifikation, und genau dadurch landen solche Daten bei noch mehr riskanten Privatunternehmen. Dieser Leak ist ein Beleg dafür, dass solche Gesetze falsch sind, und breite Berichterstattung darüber kann helfen, das öffentliche Bewusstsein zu verändern

    • Die Ursache des Problems ist die Regierung. Sie zwingt Unternehmen dazu, von Kunden unbedingt Ausweise zu verlangen, und genau dadurch entstehen solche Probleme. Es gibt keine wirklich wirksame Sicherheitsmaßnahme außer, diese Daten gar nicht erst zu sammeln. Die Regierung schlägt nicht einmal von Anfang an vernünftige Sicherheitskonzepte vor. Wahrscheinlich werden diese Daten jetzt nie wieder vollständig verschwinden, ganz egal, ob Discord dafür bezahlt oder nicht

    • Dass das nicht überraschend ist, liegt daran, dass es keine ernsthaften Strafen gab. Weil die Menschen gegenüber großen Leaks abgestumpft sind, gab es fast keine angemessene Reaktion. Dazu kommt, dass Gesetze, die den Interessen großer Unternehmen tatsächlich widersprechen, nur schwer verabschiedet werden können

    • Das wirklich Absurde ist, dass die Verantwortung immer nur darauf hinausläuft, dass Einzelne nervös und vorsichtig sein sollen, während die Systeme, die mit den Daten umgehen, kaum Konsequenzen oder Strafen zu spüren bekommen

    • Zero-Knowledge-Technologien müssen bei der Identitätsprüfung so schnell wie möglich alltagstauglich werden. Es gibt bereits Technik, mit der sich Identität oder Alter nachweisen lassen, ohne persönliche Daten offenzulegen, aber leider wird es wohl noch lange dauern, bis das allgemein verbreitet ist

  • Das größte und am meisten übersehene Problem ist der Mangel an Transparenz bei Drittanbietern, die mit sensiblen Ausweisdaten arbeiten. Bei jedem Leak legen Unternehmen nicht klar offen, welcher Anbieter die Daten tatsächlich verarbeitet hat. Durch diese Intransparenz wissen Nutzer nicht, wo ihre Informationen zurückbleiben, und haben praktisch keine Möglichkeit, solche Anbieter zu kontrollieren oder kontrollieren zu lassen. Solange diese Ebene nicht reguliert wird, werden Leaks weiter passieren und die Verantwortlichkeit unklar bleiben

    • Diese Ebene aus Drittanbietern ist die „dunkle Materie“ des Datenleck-Ökosystems. Für Nutzer ist sie nicht greifbar, Unternehmen erwähnen sie kaum, und wenn etwas schiefgeht, übernimmt dort niemand wirklich Verantwortung

  • Discord nutzt Zendesk (Referenz). In der aktuellen offiziellen Stellungnahme wurde aber nicht genannt, welcher kompromittierte Drittanbieter betroffen war, und Zendesk sagt, es sei nicht ihr Dienst gewesen. Dann stellt sich die Frage, welchen anderen Drittanbieter Discord noch genutzt hat und wessen Ruf hier eigentlich geschützt werden soll

  • Ich verstehe nicht, warum Ausweise überhaupt gespeichert werden. Es sollte doch reichen, wenn die Altersprüfung abgeschlossen ist — warum werden sie weiter aufbewahrt? Solche Unternehmen sollten gezwungen werden, bei Vorfällen wie Google oder Cloudflare ordentliche Incident-Details offenzulegen

  • Unternehmen versprechen in der Regel, Ausweise nur zur Verifikation zu verwenden und sie danach sofort zu löschen. Dann fragt man sich, wie überhaupt so viele Ausweise geleakt werden konnten. Ich frage mich, ob dort tatsächlich jeden Monat Millionen Fälle geprüft werden

    • In der Discord-Hinweismeldung (für Australien) steht: „Die von dir bereitgestellten Informationen werden nur zur Bestätigung deiner Altersgruppe verwendet und nach der Verifizierung sofort gelöscht“ (siehe Screenshot). Ich habe meine Daten noch nicht eingereicht, aber denke schon darüber nach, wie man den Gesichtserkennungsprozess austricksen könnte. Ich möchte einer Chat-App grundsätzlich keinen staatlichen Ausweis geben, egal in welchem Maßstab. Meiner Meinung nach reicht bei der Alterseinstufung „13–18 Jahre“ und „18 Jahre und älter“ völlig aus. Alles darüber hinaus wirkt nur wie Material für Marketing und Datenanalyse

    • In einer früheren offiziellen Stellungnahme hieß es, dass eine kleine Anzahl von Regierungs-Ausweisbildern von Nutzern eingesehen wurde, bei denen eine nicht autorisierte Person eine „Alters-Neubewertung“ beantragt hatte (Quelle). In so einem Fall kann es sein, dass Ausweise im Rahmen des Einspruchsprozesses für eine gewisse Zeit gespeichert werden müssen. Weil solche Einsprüche lange bearbeitet werden, könnten sie lange aufbewahrt und dadurch geleakt worden sein

    • Entweder war das versprochene sofortige Löschen eine Lüge, oder der beauftragte Drittanbieter hat die Daten separat gespeichert

    • Laut Vorschriften dürfen Identitätsprüfungsanbieter Ausweisinformationen bis zu drei Jahre speichern. Unternehmen nutzen sie außerdem zum Training von Machine Learning für Sicherheit und Betrugserkennung

    • Ich frage mich, ob in den TOS tatsächlich steht, dass gelöscht wird, und wie konkret beschrieben ist, wie schnell das passiert. Solche Begriffe wie „sofort“ oder „bald“ können sehr unterschiedlich ausgelegt werden, wenn sie vertraglich nicht präzise festgelegt sind, und manchmal schreibt auch der Staat eine gesetzliche Aufbewahrung vor

  • Ich finde, mehr Regierungen sollten Systeme wie den deutschen elektronischen Personalausweis (eID) bereitstellen, mit denen man nur das eigene Alter nachweisen kann. Es ist wirklich schade, dass so etwas zwar nötig wäre, praktisch aber schwer nutzbar ist und kaum verwendet wird

    • In Belgien gibt es einen Dienst namens „itsme“. Den gibt es schon lange; ursprünglich war er stark staatlich geprägt, inzwischen setzen ihn aber auch viele Banken ein

    • Die deutsche eID ist nicht nur umständlich, sondern auch weder einfach noch günstig in Dienste zu integrieren. Fast wirkt es so, als sei sie absichtlich so gestaltet worden, dass man stattdessen kommerzielle Systeme (kostenpflichtige Lösungen) verwendet (mehr dazu)

  • Einen staatlichen Ausweis bei Discord hochzuladen, ist dumm

    • Im Vereinigten Königreich muss man Discord seine Identität nachweisen, um im Rahmen der Einhaltung des Online Safety Act Zugang zu Free-Speech-Kanälen für Personen ab 13 Jahren zu erhalten

    • Es kommt häufig vor, dass man gebannt wird, weil man angeblich unter 13 ist. Zum Beispiel fragt jemand nach der Anzahl der Kerzen auf einem Foto, man antwortet darauf, und wenn der Chat dann zu „Wie alt bist du?“ bearbeitet wird, wirkt die Antwort plötzlich so, als hätte man sein Alter genannt. Discord ist so etwas wie früher MSN Messenger oder Yahoo IM, und das ganze digitale soziale Netzwerk sowie die Serverhistorie hängen an diesem einen Account. Wenn man den Account verliert, verliert man Freunde und Community zugleich. Deshalb sollten Ausweisdaten eine Woche nach der Verifikation vollständig gelöscht werden oder direkt im Account-Panel entfernbar sein

    • Den Nutzern die Schuld zu geben, ist falsch. Das Unternehmen gestaltet seine Richtlinien aufgrund staatlicher Gesetze und erzwingt eine Verifikation ab 18 Jahren. Ich habe selbst versucht, die Verifikation mit Gesichts-KI zu durchlaufen, aber das hat so schlecht funktioniert, dass ich mich am Ende wie empfohlen an den Kundensupport gewandt habe und den Ausweis hochgeladen habe, nachdem ich die offizielle Discord-Richtlinie gelesen hatte, nach der der Ausweis „nach der Verifizierung sofort gelöscht“ werde (Richtlinie) (Löschrichtlinie). Aber Discord konnte die Daten entgegen seinem Versprechen nicht löschen und hat sie leaken lassen. Die volle Verantwortung liegt beim Drittanbieter, bei Discords nachlässigem Umgang mit den Daten und bei der Regierung, die solche Richtlinien erzwungen hat. Leute wie wir, die sich technisch auskennen, finden vielleicht leicht Self-Hosting oder Umgehungswege, aber für die breite Öffentlichkeit ist das nicht realistisch. Hoffentlich wird dieser Vorfall ein Anlass, sich künftig gegen solche erzwungenen Verifikationsrichtlinien zu wehren. Die britische Regierung wird aber vermutlich unter dem Schlagwort „Schutz der Kinder“ die gesamte Verantwortung Discord zuschieben

    • Bei unzähligen Krypto-Börsen sind mein Führerschein, mein Reisepass und andere Ausweisdokumente ohnehin schon hinterlegt. Das ist leider die Realität, und bei echtem KYC gehört sogar ein Video-Ident-Verfahren zwingend dazu

  • Die Erklärung „Der Drittanbieter ist schuld“ ist inzwischen ein allzu bekanntes Muster. Wenn man sensible Informationen wie staatliche Ausweise sammelt, muss die dazugehörige Sicherheit auf höchstem Niveau sein, egal in wessen Händen die Daten liegen

  • Reine Neugierfrage: Ist es rechtlich vorgeschrieben, solche Daten auch nach abgeschlossener Altersverifikation zu speichern?

    • Das ist der seltsamste Punkt an dem ganzen Vorfall. Ich verstehe nicht, warum man sich diese Verantwortung überhaupt aufladen sollte. Wenn man sie wirklich speichern muss, dann sollte man unterstellen, dass ein Leak katastrophal wäre, und die Daten in einem strikt getrennten separaten Dienst mit stark begrenztem Zugriff halten

    • Ich arbeite zwar in einer anderen Branche, aber wenn eine Identitätsprüfung nötig ist, extrahieren wir beim Anzeigen sofort nur die Metadaten und verwerfen das Bild direkt danach. Solche Bilder ohne Freigabe der Rechtsabteilung langfristig zu speichern, wäre bei uns normalerweise undenkbar — erst recht bei so einfachen Prüfungen wie Alter oder Name

    • Es ist nicht zwingend belegt, dass überhaupt etwas gespeichert wurde. Es könnte auch eine unbegründete Vermutung sein. Vielleicht wurden die Daten während der Verarbeitung in Echtzeit abgegriffen, statt dass ein dauerhaft gespeicherter statischer Datenspeicher vollständig kompromittiert wurde

    • Meine Vermutung ist, dass sie einige originale Ausweisbilder zur Prüfung auf doppelte Accounts gespeichert haben könnten. Wenn ein Machine-Learning-Modell vermutet, dass zwei Accounts derselben Person gehören, könnte das Originalbild zum Abgleich auf Doppelungen verwendet werden

    • In der EU ist es eher umgekehrt. Wegen der DSGVO dürfen nur die minimal erforderlichen Daten verwendet werden, und eine Nutzung außerhalb des Zwecks ist verboten. Zum Beispiel müssen Daten, die zur Altersverifikation eingereicht wurden, nach abgeschlossener Prüfung gelöscht werden

  • Zendesk rühmt sich damit, dass „Discord mit Investitionen in KI-gestützten Self-Service auf der Zendesk-CX-Plattform reibungslosen Support bietet“