Der Dienst Discord ist Opfer eines Cyberangriffs geworden, bei dem heftig Daten abgezogen wurden. Der Dienst bestätigt, dass möglicherweise die Ausweisdaten von 70.000 Nutzern bei einem Datenleck offengelegt wurden. Es heißt auch, dass die Angreifer im Rahmen eines Erpressungsversuchs falsche Informationen über den Umfang des Datenlecks verbreiten.
Discord ist eine Plattform zum Austausch von Nachrichten, die wohl bei Gamern recht beliebt ist. Nutzer können Funktionen wie Nachrichten schreiben, Musik hören, Gruppenchats nutzen, sowie Sprach- und Videoanrufe tätigen. 2015 gestartet, läuft Discord auf verschiedenen Geräten und hat 250 Millionen Nutzer. Es gibt die Möglichkeit, sich in Discord mit Plattformen wie Twitch, Mixer, Steam oder Spotify zu verbinden. Discord scheint aber auch in Firmen und Behörden eingesetzt zu werden.
Ein Hack bei Discord
Mir ist Discord im Zusammenhang mit dem Beitrag Discord Databank wohl geleakt – Konten gesperrt (Dez. 2024) hier im Blog untergekommen. Am 3. Oktober 2025 hat Discord in einer Mitteilung einen Hack eingestanden. Es hieß, dass Discord kürzlich einen Vorfall entdeckt habe, bei dem Unbefugte einen Drittanbieter, der zur Unterstützung des Kundendienstes eingesetzt wurde, kompromittiert haben. Dort wurden Daten von Discord-Nutzern abgezogen.
Nun werden soziale Netzwerke seit Tagen mit der Information geflutet, dass der Hack mit Datenabfluss schlimmer als befürchtet sei.
Die Hacker geben an, 1,5 TByte an Daten, die über 2 Millionen amtliche Passfotos enthalten sollen, erbeutet zu haben. Da Discord nicht auf die Erpressungsversuche eingeht, haben die Hacker einige Benutzerdaten veröffentlicht.
In einer Aktualisierung seiner Mitteilung gibt Discord zum 9. Oktober 2025 an, dass dieser Sicherheitsvorfall nur eine begrenzte Anzahl von Nutzern betrifft, die mit dem Discord-Kundensupport oder den Trust & Safety-Teams kommuniziert hatten.
Von den weltweit betroffenen Konten habe man etwa 70.000 Nutzer identifiziert, deren Fotos von amtlichen Ausweisen möglicherweise offengelegt wurden. Diese Fotos wurden von dem beauftragten Drittdienstleister zur Überprüfung von Altersbeschwerden verwendet.
Discord schreibt, dass keine Nachrichten oder Aktivitäten der Benutzer abgerufen wurden, die über das hinausgingen, was die Nutzer möglicherweise mit dem Kundensupport oder den Mitarbeitern von Trust & Safety besprochen hatten. Man habe dem Kundensupport-Anbieter sofort den Zugriff auf das eigene Ticketingsystem entzogen und untersuche diese Angelegenheit weiterhin heißt es. Man arbeite eng mit den Strafverfolgungsbehörden zusammen, um diese Angelegenheit zu untersuchen. Zudem will man die betroffenen Nutzer per E-Mail benachrichtigen.
MVP: 2013 – 2016
Mal so gefragt warum gibt jemand sein Passfoto zu Discord?
Weil man muss.
Discord lässt sich in manchen Ländern nur mit Altersnachweis nutzen, z.B. in Großbritannien seit einer Gesetzesänderung dieses Jahr.
Der Datenklau soll angeblich laut neueren Berichten über das Konto eines Supportmitarbeiters in Südostasien passiert sein, der von der Hacker-Gruppe mit 500€ bestochen wurde.
Hier hat Discord wohl am falschen Ende Geld gespart und sich günstige Arbeiter eingekauft die zu viele Berechtigungen bekommen haben.
Man muss gar nichts. Man kann auch ohne Discord leben.
Nach dieser Argumentation muss man sich ja auch nicht mehr über Sicherheitslücken, Chatkontrolle und Co Gedanken machen weil man ja auch ohne Computer leben kann.
Meine Güte. Wer halt Gaming als Hobby betreibt der kommt in vielen Games kaum um Discord rum. Wie damals auch bei TS.
Ich hatte 2018 einen Sicherheitsvorfall mit Discord.
Über eine 3. Software wurde mir der SessionCookie geklaut und trotz 2FA über meinen Account versucht für 200€ Giftcards (meine Paypal Daten waren für Abos in Discord gespeichert) zu kaufen.
Hab das ganze über Paypal zurück geholt -> Discord hat mir (natürlich) den Account gesperrt.
Da ich meinen Account aber wieder haben wollte, hab ich dem Support die Sache dargelegt inkl. Anzeige der Polizei. In dem ganzen Ablauf wollte der Support auch eine Kopie meines Ausweises.
Je nachdem wie lange Discord solche Daten speichert (hab ich keine Infos zu) könnte ich also durchaus von diesem Leak sogar betroffen sein.
"Je nachdem wie lange Discord solche Daten speichert"
Genau das ist ein wesentliches Problem. Die Erhebung und Verarbeitung der Daten mag zwar mal legitim gewesen sein – aber wieso muss man die Ausweisdaten jahrelang speichern? Erst dadurch werden Leaks in solchen Größenordnungen möglich. Mit einem vernünftigen Löschkonzept wären maximal User aus den letzten paar Wochen betroffen. Dazu kommt, dass überall irgendwelche Drittdienstleister und Subunternehmen und Subunternehmen drinnen hängen, man also letztlich gar nicht weiß, wer alles Zugriff auf die Daten hat.
Na weil mans kann. Seit 20 Jahren arbeiten alle großen Firmen nach dem Motto: Haben ist besser als brauchen und deshalb wird ALLES gespeichert, ohne überhaupt zu wissen wofür.
Klar könnte man die Altersprüfung via eID machen, aber das ist aufwändig und dann kann man nichts mehr verkaufen.
Das ist einfach nicht auf "große" Unternehmen begrenzt – dem Prinzip bedienen sich alle Gewerbetreibenden in Orientierung am messihaften Behörden-"Vorbild".
Nimm als Beispiel Großbritannien: Wenn sowas dem Altersnachweis dient, die betreffende Person sich aber hinterher evtl. als doch jünger herausstellt, dann wird Discord wahrscheinlich solche Daten als Beleg dafür brauchen, dass sie die Altersprüfung "gewissenhaft" durchgeführt haben. Der Gesetzgeber erzeugt somit einen Druck diese Daten nicht zu löschen.
Ob es so ist weiß ich natürlich nicht, aber es wäre definitiv eine schlüssige Erklärung fürs dauerhafte Speichern.
Altersverifikation? Üblicherweise wollen sie eine Ausweiskopie und einen Videochat, in dem man seinen Ausweis neben das Gesicht hält. Danke E.U.
Ist ja durchaus legitim… nur muss dazu der Ausweis nicht gespeichert werden! Nach Verifikation wird das Bit gesetzt, geprüft und ü18 und gut Ist! Gespeichert werden muss da sonst gar nix!
Meinst du so ein Bit reicht in einem evtl. durch Betrug ausgelöstem Strafverfahren dann?
>Gespeichert werden muss da sonst gar nix!
>
Du glaubst wirklich es geht um Sicherheit der Nutzer? Drollig.
Das kann eine Fehlkonfiguration beim Anbieter sein (etwa, daß alle Mails in ein immutable Archiv gehen, aus dem sie vor x Jahren nicht gelöscht werden können) oder auch gesetzliche Vorgabe.
Ich weiß es z.B. von der EU-Sanktionslistenprüfung. Jeder Name eines Kunden, Lieferanten (und drolligerweise auch die eigenen Mitarbeiter) muß zum Tag der Bestellung und zum Tag der Lieferung geprüft werden und das Ergebnis "unveränderlich" für 10 Jahre archiviert werden.
***************************************
Ich weiß es z.B. von der EU-Sanktionslistenprüfung. Jeder Name eines Kunden, Lieferanten (und drolligerweise auch die eigenen Mitarbeiter) muß zum Tag der Bestellung und zum Tag der Lieferung geprüft werden und das Ergebnis "unveränderlich" für 10 Jahre archiviert werden.
***************************************
Klar es muss der Account geprüft werden, durchaus mit Namen Adresse usw., vollkommen legitim und es greifen da auch evtl. Speicherfristen,nur muss dazu dann nicht auch der Ausweis "kopiert" werden… dazu reicht ein Flag das belegt das die Daten per Ausweis abgeglichen wurden!
Bis vor ein paar Jahren war es sogar Strafbar eine Kopie (welche nicht eindeutig und unwiederbringlich als Kopie gekennzeichnet war) anzulegen… Urkunden/Dokumentenfälschung mit bis zu 5 Jahren Gefängnis!
Gibt es hierzu einen Paragraph der DSGVO, welchen man zu Rate ziehen kann?
Hintergrund meiner Frage ist, daß man dann gegen Discord wegen groben Datenverstoß klagen kann. Ich bin zwar nicht davon betroffen, aber die Betroffenen könnten Klage (Sammelklage) einreichen. Dann hat Discord fertig.
In den US A Wäare dann eine sehr große zahlbare Schadenssumme möglich. In Dschland leider nicht.
"Man arbeite eng mit den Strafverfolgungsbehörden zusammen, um diese Angelegenheit zu untersuchen."
Also gibt es keinerlei Grund, die totale Digitalisierung abzulehnen. Stimmt doch, oder?
Totale Digitalisierung lehne ich ab. Ich bin für Datensparsamkeit. Egal ob analog oder digital. Was jemand nicht hat kann auch nicht abhanden kommen.
Die Zeiten sind vorbei.
Frage an den Pater:
Geht die Beichte bei der Seelsorger-KI dann auch nur noch online mit Anmeldung per VideoIdent und Upload des Kirchensteuernachweises?
Die Sache mit den Ausweiskopien wird no j böse enden. Bei jedem Bankkonto, Finanzkonto, Brokeraccount wird das VideoIdent-Verfahren unter die Nase gerieben. Die Dame oder Herr am anderen Ende der Leitung sagt dann: "Bitte Ausweis kippen, neigen, nun stillhalten ich mache ein Foto vom Ausweis".
Möchte nicht wissen, wie lange und wie unverschlüsselt die Ausweisfotos gespeichert werden.
Und die Verbraucherzentralen betonen jedes Mal, man müsse den Ausweis nirgendwo kopieren lassen …
Oder wie lange das Video gespeichert wird, während dem "das Foto" gemacht wird…
Das dauerhafte Aufheben von Ausweiskopien und Id-Chat-Videos hat einen ganz zielgerichteten Zweck für Anbieter. Genauso wie sich z.B Elons Auto-Hersteller die Fahrtschreiberdaten von Unfällen automatisch vom Auto in die Cloud übermitteln lässt.
Jeder von uns kennt diesen Typ Mensch/Kunde, der narzistisch soziopat veranlagt ist und sich seine Welt hemmungslos zurecht lügt und im Konfliktfall wirre Stories zusammenspinnt, um andere für sein (absichtliches) Fehlverhalten verantwortlich zu machen. Um so auf Kosten anderer oder Vertragspartner einen persönlichen Vorteil draus zu ziehen, selbst wenn man selber Mist gebaut hat.
Als Anbieter willst du dich gegen solche Kunden absichern und ziehst du dann die (eigentlich datenschutzrechtswidrig behaltenen) Videoaufnahmen und Kopien raus und kannst halt jederzeit gerichtsfest belegen, dass der Kunde wirklich selber das Konto angelegt und missbraucht hat (und kein geheimnisvoller Hacker) bzw. selber gefahren ist und zB in der unfallsituation selber nicht gebremst hat.
Der Vorteil solcher Belege ist um ein Vielfaches höher als die symbolischen und nur theoretischen Strafen zahnloser Datenschutzverstösse.
Und die Speicherkosten dafür sind bei nahe Null.
Ein loses "Kunde hat sich mal mit Ausweis authorisiert"-bit ist dagegen gerichtsseitig wertlos. Da kann der (ev ebenso soziopathische) Anwalt deines Soziopathkunden beliebig viele theoretisch Workflowlückenargumente konstruieren, die ein Setzen des bits ohne Ausweiszeigen hätten bedeuten können und er is schuldfrei raus.