据报道，Discord在210万用户ID照片被盗后面临勒索

此次入侵事件发生于2025年9月20日，攻击者攻破Discord客户支持系统后窃取了包括驾照和护照在内的敏感个人证件。

黑客针对Discord的Zendesk支持系统发起攻击，导致210万用户提交的2,185,151份年龄验证证件照片外泄。Discord在近两周后才于2025年10月3日公开披露该事件。

泄露数据详情

黑客获取的远不止照片，还包括姓名、电子邮箱、Discord用户名及用户发送给客服的对话记录。部分用户的IP地址与有限支付信息（信用卡末四位及消费记录）也遭泄露。

Discord确认完整信用卡号、密码及用户间常规聊天记录未被访问。此次事件仅影响联系过Discord客服或信任与安全团队的用户。

安全研究人员指出，攻击者声称已掌握1.5TB数据——这意味着海量个人信息现已落入犯罪者手中。

攻击手法解析

黑客并未直接攻击Discord主系统，而是通过社会工程学手段（诱导人员而非利用软件漏洞）入侵了第三方客服供应商。

自称"Scattered Lapsus$ Hunters"的组织宣称对此次攻击负责。该联盟融合了Scattered Spider、Lapsu$和ShinyHunters等知名黑客组织的战术，其在Telegram发布的截图显示已掌控Discord内部工具与管理面板，并嘲讽该公司安全措施。

来源：@vxunderground

但关于实际攻击者仍存疑点，该组织后续暗示另有团队应对事件负责。

年龄验证法规衍生新风险

此次事件凸显年龄验证新规的重大隐患。英国2025年7月通过的《网络安全法案》强制Discord等平台通过政府ID验证用户年龄，美国俄亥俄州与亚利桑那州也在同年9月底颁布类似法规。

Discord曾承诺"在确认年龄组后立即删除证件照片"，但被盗数据来自申诉年龄验证结果的用户——这意味着客服系统保留了这些证件的副本。

隐私倡导者早已预警此风险：当企业集中存储大量敏感身份文件时，必将成为黑客的诱人目标。本次事件证实了这些担忧。

对加密社区的影响

事件对Discord上的加密货币用户构成严重威胁。众多加密项目、NFT社区和区块链网络以Discord为主要交流平台，开发者、交易者和投资者常在此讨论敏感话题。

Hudson Rock首席技术官Alon Gal指出风险："该数据库若泄露，将成为破解加密相关黑客与诈骗的关键，因为诈骗者很少记得使用一次性邮箱和VPN——且他们几乎都在Discord活跃。"

失窃数据可能帮助犯罪者识别加密KOL、大户交易者及项目开发者，进而实施精准钓鱼攻击、身份盗窃或勒索计划。真实姓名、证件照片中的地理位置与Discord活动记录将构成完整的可 exploitation 用户画像。

时点尤为敏感——Discord月活用户超2亿，其中大量用户参与加密与区块链社区。

现有更优解决方案

科技企业无需存储海量证件照片即可验证年龄。零知识证明技术可在不暴露完整身份或存储敏感文件的情况下，通过数学方法确认用户年龄。

区块链平台Concordium于8月推出采用该技术的移动应用，用户无需向企业出示真实ID即可证明年满18岁。Google Wallet也于2025年4月集成零知识证明进行年龄验证。

这类系统能避免服务器堆积可被黑客窃取的证件照片。若Discord采用零知识证明而非收集证件图像，本次事件泄露的敏感信息将大幅减少。

Discord应对措施与用户行动指南

Discord立即切断涉事客服供应商的访问权限，并引入计算机取证专家。公司已向执法部门与数据保护机构通报事件。

受影响用户将收到[email protected]发送的邮件（官方唯一通知渠道）。Discord强调绝不会通过电话联系用户，并提醒警惕冒充官方的钓鱼邮件——数据泄露事件常被诈骗分子二次利用。

这是Discord在2025年第三次安全事件，此前平台曾于7月遭遇Epsilon Red勒索软件传播，8月又发生通过内容分发网络的恶意软件攻击。

核心警示

本次事件印证了隐私倡导者对强制ID收集的担忧。当企业将数百万敏感文件存储于中心化数据库时，就是在为黑客创造无法抗拒的目标。210万提交政府ID的Discord用户正面临潜在身份盗窃风险。

对加密用户而言，鉴于Discord在区块链社区的核心地位，情况尤为严峻。更优的隐私技术已然存在，企业应在更多个人信息落入犯罪者手中前尽快采用。