O logotipo branco do Discord, um rosto sorridente de controle de videogame, é o ponto focal em um fundo azul-elétrico com um padrão de grade. Quatro ícones brancos e translúcidos relacionados a dados e tecnologia flutuam ao redor: um campo de senha, um diagrama de radar, um gráfico de barras e uma câmera.
Discord/Divulgação

O Discord confirmou na última sexta-feira (3) que dados pessoais de usuários foram expostos após um ataque cibernético direcionado a uma prestadora de serviços terceirizada responsável pelo suporte ao cliente e equipes de confiança e segurança. A empresa esclareceu que seus próprios sistemas não foram comprometidos diretamente, mas que informações de um número limitado de usuários que haviam interagido com o suporte foram acessadas indevidamente.

Segundo comunicado oficial, os dados comprometidos incluem nome real, nome de usuário, endereço de e-mail, endereço IP e histórico de mensagens trocadas com os agentes de suporte. Além disso, um pequeno número de imagens de documentos oficiais, como carteiras de identidade e passaportes, foram acessadas. Essas imagens foram enviadas por usuários que recorreram de determinações de idade, um procedimento comum para verificar a idade mínima exigida para acessar determinados conteúdos na plataforma.

A empresa garantiu que informações mais sensíveis, como números completos de cartões de crédito, códigos de segurança (CVV), senhas e dados de autenticação, não foram afetadas pelo ataque. A plataforma também afirmou que o incidente não envolveu acesso direto aos servidores internos do Discord e que nenhuma mensagem ou atividade foi acessada além do que os usuários possam ter discutido com os agentes de suporte.

Motivação do ataque e medidas adotadas

Imediatamente após a descoberta do incidente, o Discord revogou o acesso da prestadora terceirizada ao sistema de atendimento e iniciou uma investigação interna. A empresa contratou uma companhia especializada em perícia digital para apoiar o processo e está colaborando com as autoridades competentes para apurar os responsáveis pelo ataque.

Os usuários afetados estão sendo notificados por e-mail enviado pelo endereço noreply@discord.com. A plataforma esclareceu que não entrará em contato por telefone e orientou os usuários a desconsiderarem qualquer comunicação suspeita que não siga esse formato.

O Discord informou que o ataque teve motivação financeira. Um grupo não autorizado comprometeu os serviços terceirizados de atendimento ao cliente para acessar dados de usuários com o objetivo de extorquir financeiramente a plataforma. A empresa ressaltou que está tomando todas as medidas necessárias para reforçar a segurança e evitar incidentes semelhantes no futuro.

E embora o número de usuários afetados seja limitado, o incidente destaca a importância de práticas de segurança robustas, especialmente quando se trata de fornecedores terceirizados. Usuários que receberam a notificação por e-mail devem estar atentos a possíveis tentativas de phishing e evitar clicar em links suspeitos ou fornecer informações pessoais a fontes não verificadas.

Verificação de idade e o risco de exposição de documentos

A exigência de verificação de idade por plataformas digitais — especialmente aquelas com conteúdo restrito a maiores de 18 anos — tem se intensificado globalmente, impulsionada por legislações como a Lei de Segurança Online do Reino Unido e o Digital Services Act da União Europeia. Para comprovar sua idade, muitos usuários são solicitados a enviar imagens de documentos oficiais, como carteiras de motorista, passaportes ou RGs. Embora essa prática pareça uma solução direta para cumprir obrigações legais, ela introduz riscos significativos à privacidade e à segurança dos dados. O vazamento no Discord, que incluiu justamente esse tipo de documento, é um exemplo recente de como a coleta de identidades físicas no ambiente digital pode se tornar um alvo valioso para cibercriminosos.

Esses mecanismos frequentemente forçam os usuários a escolher entre acessar serviços legítimos ou expor informações altamente sensíveis – ou acessá-los de formas alternativa, como conta esse vídeo do Techlore. Documentos de identidade contêm não apenas nome e data de nascimento, mas também números únicos (como CPF ou número da carteira), endereços residenciais e até características biométricas. Uma vez armazenados em sistemas de terceiros — muitas vezes com níveis variáveis de proteção —, esses dados se tornam vulneráveis a vazamentos, como ocorreu com o Discord. E não há evidências robustas de que a verificação por documento reduza efetivamente o acesso de menores a conteúdos impróprios, mas há inúmeros casos documentados de fraudes de identidade decorrentes desse tipo de coleta.

Além disso, a falta de padronização na forma como as empresas coletam, armazenam e descartam esses documentos aumenta os riscos. Embora não haja dados consolidados sobre a porcentagem exata de plataformas que falham em criptografar ou reter indevidamente documentos, relatórios da ICO e do European Data Protection Board (EDPB) indicam que múltiplas investigações foram abertas contra empresas que exigem envio de documentos sem justificativa legal clara ou salvaguardas técnicas adequadas. Alternativas menos invasivas — como o uso de carteiras digitais de idade, sistemas baseados em criptografia zero-knowledge ou até mesmo declarações autenticadas por operadoras de telefonia — existem e estão sendo testadas em projetos-piloto na UE, mas ainda enfrentam barreiras regulatórias e de adoção em larga escala.