Gegevens van 70.000 Discord-gebruikers gestolen
Bij een hack van chatplatform Discord zijn de identiteitsgegevens, inclusief foto’s, van zo’n 70.000 gebruikers buitgemaakt. Dat meldt Discord zelf.
Het gaat voornamelijk om overheidsdocumenten van gebruikers die hun leeftijd moesten bewijzen op het platform. Het datalek vond plaats volgens Discord bij een derde partij die de dienst levert waar gebruikers hun identiteitsbewijs moesten uploaden. Een aantal landen, waaronder bijvoorbeeld het Verenigd Koninkrijk, hebben de afgelopen maanden strenge internetregels ingevoerd. In het VK mogen jongeren bijvoorbeeld geen ‘ongepaste’ content zien op websites, en moeten burgers hun leeftijd bewijzen (vaak door hun paspoort te uploaden) voordat ze pornosites of delen van internetforum Reddit kunnen openen. Op de regels kwam veel kritiek, deels omdat het voor gigantische privacy-problemen zou kunnen zorgen en de veiligheid van gebruikers in gevaar zou brengen bij een datalek.
Systeem voor leeftijdscontrole getroffen
Discord is een van de platforms die leeftijdsverificatie moest invoeren. Het bedrijf zette daarvoor enkele systemen op. Het eerste, k-ID, gebruikt automatische leeftijdsverificatie op basis van een selfie. Bij het tweede systeem kon je een foto nemen van jezelf waarbij je je identiteitsbewijs of ander overheidsdocument omhoog hield. Daarbij keek Discord zelf na of je werd goedgekeurd. Het lijkt erop dat het lek bij het tweede systeem plaatsvond, dat ook werd ingezet voor mensen die door anderen gerapporteerd werden als ‘te jong’.
Bij de aanval werden naast overheidsdocumenten ook namen, gebruikersnamen, e-mailadressen en andere contactdetails gestolen, als die door de gebruiker aan Discords helpdesk werden vermeld. Ook IP-adressen en berichten tussen de gebruiker en de helpdesk zouden zijn ingezien en voor enkele slachtoffers zouden ook gegevens als hun aankoopgeschiedenis en de laatste vier cijfers van hun creditcard kunnen zijn gestolen.
In samenwerking met Data News
