O Discord estaria sendo extorquido por hackers responsáveis por invadir um banco de dados que continha informações sensíveis de verificação de idade de mais de 2,1 milhões de usuários, os quais agora ameaçam vazar os dados.
Em uma publicação no X na quarta-feira, o repositório de malware VX-Underground afirmou que o Discord está sendo extorquido pelos indivíduos responsáveis por comprometer sua instância do Zendesk, que continha dados de usuários. As informações incluem 2.185.151 fotos usadas para verificação de idade de 2,1 milhões de pessoas, incluindo imagens de carteiras de motorista e passaportes.
“Fotos de carteiras de motorista e/ou passaportes de usuários do Discord podem ser vazadas”, afirmou o VX-Underground.
A invasão ocorreu em 20 de setembro, quando a instância do Zendesk do Discord que armazenava esses dados foi comprometida. Na sexta-feira seguinte, a plataforma de mensagens voltada ao público gamer divulgou o incidente, alegando que “o incidente afetou um número limitado de usuários”.
“Um pequeno número de imagens de identificação”
“O invasor não autorizado também obteve acesso a um pequeno número de imagens de documentos de identidade oficiais (por exemplo, carteiras de motorista e passaportes) de usuários que recorreram de uma determinação de idade”, afirmou o Discord, prometendo notificar os usuários afetados por e-mail.
Alguns usuários criticaram o fato de que esses dados estavam armazenados, já que o Discord havia prometido que as informações de verificação de idade seriam “excluídas imediatamente após a confirmação do grupo etário”. Ainda assim, a origem dos dados não foi o sistema de verificação de idade em si, mas sim as fotos enviadas ao suporte quando os usuários recorriam de uma decisão feita pelo sistema automatizado de verificação.
Os riscos da verificação de idade
Muitos especialistas em cibersegurança e defensores da privacidade se opõem fortemente à exigência de envio de documentos para verificação de idade em serviços online. O motivo é que, quando grandes quantidades de dados sensíveis são armazenadas em servidores, eles se tornam alvos atrativos para agentes maliciosos, como neste caso.
Alguns membros da comunidade de cripto e criptografia defendem que existem alternativas mais seguras. No fim de agosto, a blockchain de prova de participação (proof-of-stake) de camada 1 Concordium lançou um aplicativo móvel que permite aos usuários verificar sua idade sem revelar sua identidade.
O aplicativo utiliza provas de conhecimento zero (ZK-proofs) para confirmar matematicamente que o usuário comprovou sua idade sem divulgar detalhes completos. Isso evita o acúmulo de grandes quantidades de fotos de documentos em servidores que podem ser invadidos posteriormente.
Sistemas baseados em ZK-proofs não precisam depender de criptomoedas. O Google Wallet, aplicativo de pagamentos e gerenciamento de cartões digitais da gigante de buscas, anunciou no fim de abril que integrou ZK-proofs para a verificação de idade.