Der Instant-Messenger Discord steht nach einem schwerwiegenden Sicherheitsvorfall in der Kritik: Rund 70.000 Nutzer weltweit sind betroffen, nachdem ein externer Dienstleister kompromittiert wurde, der für Altersverifikationen zuständig war. Dabei wurden sensible Daten wie Ausweisfotos, IP-Adressen und Kontaktdaten entwendet.
Altersprüfung als Einfallstor
Die betroffenen Nutzer hatten im Rahmen einer sogenannten „age-related appeal“ ihre Ausweisdokumente zusammen mit einem Selfie und dem Discord-Benutzernamen eingereicht. Diese Maßnahme ist nötig, wenn Discord Zweifel am Alter eines Nutzers hat oder gesetzliche Vorschriften in bestimmten Ländern eine Identitätsverifikation erfordern.
Die Sicherheitslücke betraf jedoch nicht direkt Discord selbst, sondern ein Drittanbieter, der mit dem Kundenservice beauftragt war. Der Angreifer verschaffte sich Zugriff auf das Ticketsystem und erbeutete unter anderem personenbezogene Daten aus dem Support-Verlauf.
Gewinnen in der Plattform-Ökonomie
Mehr Daten als öffentlich zugegeben?
Während Discord die Zahl der betroffenen Nutzer mit etwa 70.000 angibt, berichtet das Technikportal 404 Media, dass der tatsächliche Umfang weitaus größer sein könnte. Hacker behaupten, rund 1,5 Terabyte an Daten gestohlen zu haben. Ein Discord-Sprecher wies diese Angaben als „falsch und Teil eines Erpressungsversuchs“ zurück, wie Techcrunch berichtet.
Unklar bleibt bislang, wie viele Ausweisdokumente und IP-Adressen tatsächlich im Umlauf sind. Die Plattform informierte alle bekannten Betroffenen per E-Mail und riet zur erhöhten Wachsamkeit bei ungewöhnlichen Nachrichten oder Kontaktaufnahmen.
Kritik an Altersverifikationen wächst
Der Vorfall wirft erneut ein Schlaglicht auf die Risiken von Identitätsprüfungen im Netz. In den USA sind in etwa der Hälfte aller Bundesstaaten bereits Gesetze in Kraft, die Altersnachweise für bestimmte Inhalte, vor allem im Bereich der Erwachsenenunterhaltung, verlangen. Auch in Europa verschärfen sich die Vorgaben, was auch anhand der Diskussion rund um die eID sowie Social-Media-Verbote für Jugendliche und Kinder wie in Griechenland deutlich wird.
Datenschützer kritisieren seit Langem, dass solche Verfahren zwar gut gemeint seien, jedoch potenziell große Mengen sensibler Nutzerdaten unnötig zentralisiert und damit angreifbar machen.
Maßnahmen und Ausblick
Discord hat laut eigenen Angaben umgehend die Zusammenarbeit mit dem betroffenen Dienstleister beendet, forensische Experten hinzugezogen und die Strafverfolgungsbehörden eingeschaltet. Zudem wurden die internen Sicherheitsmaßnahmen und Drittanbieterprüfungen überarbeitet.
Ob und wie die gestohlenen Daten künftig missbraucht werden, bleibt abzuwarten. Für Discord-Nutzer gilt vorerst erhöhte Vorsicht im Umgang mit verdächtigen Nachrichten – und die Erinnerung daran, dass Datenschutz auch bei Plattformen mit gutem Ruf nicht selbstverständlich ist.
