Khả năng rò rỉ thông tin giấy tờ tùy thân của 70.000 người dùng Discord

 (theverge.com)
1 điểm bởi GN⁺ 2025-10-09 | 1 bình luận | Chia sẻ qua WhatsApp
  • Discord cho biết do một sự cố bảo mật tại nhà cung cấp hỗ trợ khách hàng bên thứ ba, ảnh giấy tờ tùy thân do chính phủ cấp của khoảng 70.000 người dùng có thể đã bị lộ
  • Sự cố lần này xảy ra tại nhà cung cấp dịch vụ bên ngoài, không phải trong hệ thống của chính Discord
  • Kẻ tấn công đã cố gắng tống tiền Discord bằng cách lan truyền các con số phóng đại vượt quá quy mô thiệt hại thực tế
  • Tất cả người dùng bị ảnh hưởng đã được thông báo trực tiếp riêng lẻ, và Discord đang phối hợp chặt chẽ với cơ quan thực thi pháp luật cùng các bên liên quan
  • Discord đã chấm dứt hợp đồng với nhà cung cấp bị ảnh hưởng và lập tức triển khai các biện pháp tăng cường bảo mật

Tổng quan sự cố bảo mật

  • Discord đã chia sẻ lập trường chính thức về sự cố bảo mật gần đây xảy ra tại một nhà cung cấp dịch vụ khách hàng bên thứ ba
  • Do những kẻ gây ra hành vi phạm pháp đang phát tán thông tin sai lệch và các tuyên bố phóng đại trên mạng (thổi phồng số nạn nhân), tình hình đã gây ra không ít nhầm lẫn

Bản chất của sự cố

  • Mục tiêu bị tấn công không phải là hệ thống của Discord mà là hệ thống của nhà cung cấp bên ngoài được dùng để hỗ trợ dịch vụ khách hàng
  • Việc lộ dữ liệu từ nhà cung cấp bên ngoài khiến ảnh giấy tờ tùy thân do chính phủ cấp của tối đa khoảng 70.000 người dùng có khả năng đã bị lộ
  • Dữ liệu giấy tờ tùy thân này chủ yếu được sử dụng để xác minh độ tuổi và xử lý khiếu nại liên quan đến giới hạn độ tuổi

Phản ứng của Discord

  • Việc thông báo riêng cho tất cả người dùng bị ảnh hưởng đã được hoàn tất
  • Discord đang tiếp tục phối hợp với cơ quan thực thi pháp luật, cơ quan bảo vệ dữ liệu và các chuyên gia bảo mật bên ngoài
  • Discord đã ngay lập tức chấm dứt hợp đồng với nhà cung cấp bên ngoài nơi xảy ra sự cố
  • Discord đã tăng cường các biện pháp bảo mật cho hệ thống liên quan

Lập trường bổ sung của Discord

  • Discord nhấn mạnh rằng họ hoàn toàn không có ý định thương lượng (bồi thường) trước các tuyên bố sai lệch và hành vi phạm pháp của bên đe dọa
  • Công ty cho biết họ nhận thức rất nghiêm túc về trách nhiệm bảo vệ dữ liệu cá nhân và hiểu rõ những lo ngại của người dùng

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-10-09
Ý kiến Hacker News

  • Tôi nghĩ giờ mình đã trở thành một người yếm thế và hoài nghi, nhưng chuyện như thế này giờ hoàn toàn không còn gây ngạc nhiên nữa. Một khi bạn đưa thông tin cá nhân cho ai đó, thì coi như mọi người đều có thể truy cập vào nó. Dù dịch vụ có ghi trong TOS rằng “không bán thông tin cho bên thứ ba”, cuối cùng vẫn sẽ có chỗ nào đó bảo mật lỏng lẻo và dữ liệu bị rò rỉ. Tôi không nghĩ đây chỉ là lỗi của một công ty, mà là vấn đề của cả hệ thống nơi chính phủ không đưa ra hoặc không thực thi các biện pháp bảo mật đủ mạnh. Giờ tôi đã từ bỏ luôn kỳ vọng rằng thông tin cá nhân sẽ được bảo vệ, và những gì thực sự quan trọng, thực sự muốn giữ riêng tư, thì ngay từ đầu tôi không số hóa, cũng tuyệt đối không cho phép sao chép

    • Tin tức được đưa vì đây là vấn đề quan trọng, không phải để làm mọi người ngạc nhiên. Hiện ngày càng nhiều chính phủ thông qua luật xác minh độ tuổi, và chính loại dữ liệu này đang bị chuyển vào tay thêm nhiều công ty tư nhân nguy hiểm. Vụ rò rỉ lần này là bằng chứng cho thấy những đạo luật đó là sai lầm, và việc lan truyền thông tin về vụ việc sẽ giúp thay đổi nhận thức của công chúng

    • Nguyên nhân gốc rễ là chính phủ. Chính phủ buộc các công ty phải luôn yêu cầu giấy tờ tùy thân từ khách hàng nên mới ra nông nỗi này. Không thu thập dữ liệu đó mới là biện pháp bảo mật thực chất duy nhất. Ngay từ đầu chính phủ cũng không thể đề xuất được giải pháp bảo mật tử tế nào. Giờ dữ liệu này rất có thể sẽ không bao giờ bị xóa vĩnh viễn, dù Discord có trả tiền hay không cũng chẳng thay đổi được gì

    • Lý do chuyện này không còn gây sốc là vì trước giờ chẳng có hình phạt lớn nào. Mọi người đã trở nên chai lì trước các vụ rò rỉ quy mô lớn nên gần như không có phản ứng đúng mức. Và việc rất khó thông qua luật đi ngược lợi ích của các tập đoàn lớn cũng là một phần nguyên nhân

    • Điều thật sự vô lý là trách nhiệm lúc nào cũng chỉ dồn lên cá nhân, bắt họ phải thấp thỏm cẩn thận, còn hệ thống xử lý dữ liệu thì hầu như chẳng phải chịu hậu quả hay trừng phạt gì

    • Công nghệ Zero Knowledge (bằng chứng không tiết lộ) cho xác minh danh tính cần sớm trở nên phổ biến trong đời sống thường ngày. Về mặt kỹ thuật, đã có cách để xác minh danh tính hoặc độ tuổi mà không cần lộ thông tin cá nhân, nhưng đáng tiếc là sẽ còn mất nhiều thời gian nữa mới được phổ cập rộng rãi

  • Vấn đề lớn nhưng bị xem nhẹ nhất là sự thiếu minh bạch của các nhà cung cấp bên thứ ba xử lý giấy tờ tùy thân nhạy cảm. Mỗi khi có rò rỉ, các công ty không nói rõ bên nào thực sự đã xử lý dữ liệu. Sự mập mờ này khiến người dùng không biết thông tin của mình còn nằm ở đâu, và trên thực tế cũng không có cơ hội giám sát hay buộc các nhà cung cấp đó phải chịu giám sát. Chừng nào lớp trung gian này còn chưa được quản lý, rò rỉ sẽ còn tiếp diễn và trách nhiệm cũng sẽ tiếp tục không rõ ràng

    • Tầng nhà cung cấp bên thứ ba này là “vật chất tối” của hệ sinh thái rò rỉ dữ liệu. Với người dùng thì nó gần như vô hình, công ty cũng hầu như không nhắc tới, và khi có sự cố thì cũng không thực sự chịu trách nhiệm

  • Discord dùng Zendesk(tham khảo). Nhưng trong tuyên bố chính thức lần này họ không nêu rõ bên thứ ba bị compromised (xâm phạm/rò rỉ) là ai, còn Zendesk thì nói đó không phải dịch vụ của họ. Vậy thì Discord đang dùng thêm bên thứ ba nào nữa, và rốt cuộc họ đang cố bảo vệ danh tiếng cho ai?

  • Tôi không hiểu vì sao họ lại phải lưu trữ giấy tờ tùy thân. Chỉ cần hoàn tất xác minh độ tuổi là đủ rồi, tại sao còn giữ lại? Những công ty như vậy nên bị buộc phải công bố đầy đủ chi tiết sự cố giống như Google hay Cloudflare khi xảy ra tai nạn bảo mật

  • Các công ty thường hứa rằng họ chỉ dùng giấy tờ tùy thân để xác minh rồi xóa ngay. Vậy thì làm sao lại có thể có nhiều giấy tờ như vậy bị lộ? Không biết có phải họ thật sự đang xác minh hàng triệu trường hợp mỗi tháng hay không

    • Trong thông báo của Discord (tại Úc) có ghi rằng “thông tin được cung cấp chỉ được dùng để xác nhận nhóm tuổi và sẽ bị xóa ngay sau khi xác minh”(xem ảnh chụp màn hình). Tôi vẫn chưa nộp, nhưng đang nghĩ xem có cách nào qua mặt quy trình nhận diện khuôn mặt không. Tôi không muốn đưa giấy tờ tùy thân do chính phủ cấp cho bất kỳ ứng dụng chat nào, bất kể quy mô lớn hay nhỏ. Mà thật ra, tôi nghĩ phân loại độ tuổi chỉ cần “13~18 tuổi, từ 18 tuổi trở lên” là đủ. Chi tiết hơn nữa thì có vẻ chỉ để phục vụ marketing và phân tích dữ liệu

    • Trong tuyên bố chính thức trước đó có nói rằng “một số ít hình ảnh giấy tờ tùy thân do chính phủ cấp của những người dùng đã yêu cầu ‘xét lại độ tuổi’ đã bị người không được phép xem”(nguồn). Trong trường hợp đó, quy trình xử lý khiếu nại có thể đòi hỏi phải giữ giấy tờ tùy thân trong một khoảng thời gian nhất định. Vì khiếu nại xử lý lâu nên có thể chúng đã bị giữ lại đủ lâu để rồi bị lộ

    • Hoặc là lời hứa xóa ngay là giả, hoặc là bên thứ ba được thuê đã tự lưu lại dữ liệu

    • Theo quy định, các nhà cung cấp dịch vụ xác minh danh tính có thể lưu thông tin giấy tờ tùy thân tối đa 3 năm. Các công ty cũng dùng dữ liệu này để huấn luyện machine learning cho bảo mật và phát hiện gian lận

    • Tôi muốn biết liệu trong TOS họ có thực sự ghi rõ là sẽ xóa hay không, và có nói cụ thể xóa nhanh đến mức nào không. Những từ như “ngay lập tức” hay “sớm” nếu không được định nghĩa rõ trong hợp đồng thì có thể bị diễn giải rất khác nhau, và trong một số trường hợp chính phủ còn yêu cầu lưu giữ dữ liệu theo luật

  • Tôi nghĩ nhiều chính phủ hơn nên cung cấp hệ thống như thẻ căn cước điện tử eID của Đức, nơi bạn chỉ cần chứng minh độ tuổi của mình. Nó thực sự cần thiết, chỉ tiếc là trên thực tế khó dùng và không được tận dụng

    • Bỉ có một dịch vụ tên là “itsme”. Nó đã tồn tại từ lâu, ban đầu chủ yếu cho chính phủ nhưng giờ nhiều ngân hàng cũng đã áp dụng

    • eID của Đức không chỉ bất tiện mà còn khó tích hợp vào dịch vụ và tốn kém. Thậm chí nó còn giống như được thiết kế để đẩy mọi người sang dùng các hệ thống thương mại (giải pháp trả phí)(chi tiết)

  • Tải giấy tờ tùy thân do chính phủ cấp lên Discord là một việc ngu ngốc

    • Ở Anh, để tuân thủ Online Safety Act, bạn phải chứng minh danh tính với Discord thì mới có thể truy cập các kênh free speech dành cho người từ 13 tuổi trở lên

    • Bị ban vì bị cho là dưới 13 tuổi là chuyện khá thường gặp. Ví dụ có người hỏi số nến trên ảnh và bạn trả lời, rồi họ chỉnh đoạn chat thành “mấy tuổi?”, thế là câu trả lời của bạn bỗng trở thành khai tuổi. Discord giờ giống như MSN Messenger hay Yahoo IM ngày xưa, toàn bộ quan hệ số và lịch sử máy chủ đều dồn vào một tài khoản này. Mất tài khoản là mất bạn bè và cộng đồng, nên sau khi xác minh được một tuần thì thông tin giấy tờ tùy thân phải bị xóa hoàn toàn, hoặc ít nhất phải có tùy chọn xóa hẳn trong bảng điều khiển tài khoản

    • Đổ lỗi cho người dùng là không đúng. Công ty xây dựng chính sách theo luật của chính phủ và bắt buộc xác minh đủ 18 tuổi. Tôi cũng từng thử xác minh bằng AI nhận diện khuôn mặt nhưng không được, cuối cùng phải làm theo khuyến nghị là liên hệ bộ phận hỗ trợ khách hàng, rồi tải lên vì thấy chính sách chính thức của Discord ghi rằng “sau khi xác minh sẽ xóa giấy tờ tùy thân ngay”(chính sách) (chính sách xóa). Nhưng Discord đã không xóa được như đã hứa và để lộ dữ liệu. Trách nhiệm hoàn toàn thuộc về bên thứ ba, Discord xử lý dữ liệu một cách cẩu thả, và chính phủ đã ép buộc chính sách này. Những người rành công nghệ như chúng ta có thể dễ dàng tìm giải pháp self-hosting hoặc đường vòng, nhưng đại đa số công chúng thì không thể. Tôi hy vọng sự việc này sẽ trở thành động lực để phản đối các chính sách xác minh cưỡng ép như vậy trong tương lai. Nhưng có lẽ chính phủ Anh sẽ lại hô “bảo vệ trẻ em” và đổ toàn bộ trách nhiệm lên Discord

    • Rất nhiều sàn crypto đã có bằng lái xe, hộ chiếu và các giấy tờ tùy thân khác của tôi rồi. Đó là thực tế không tránh khỏi, và với KYC thật sự thì quy trình xác minh danh tính bằng video cũng là bắt buộc

  • Kiểu giải thích “lỗi do bên thứ ba” đã trở thành một mô-típ quá quen thuộc. Khi đã thu thập thông tin nhạy cảm như giấy tờ tùy thân do chính phủ cấp, thì bảo mật liên quan phải được đặt ở mức tối đa bất kể dữ liệu nằm trong tay ai

  • Chỉ hỏi vì tò mò thôi — không biết sau khi xác minh độ tuổi xong thì việc lưu dữ liệu như vậy có còn là yêu cầu pháp lý hay không

    • Đó là điểm kỳ lạ nhất trong vụ này. Tôi không hiểu tại sao họ lại tự ôm lấy trách nhiệm đó. Nếu thực sự phải lưu, thì phải giả định rằng khi bị lộ hậu quả sẽ cực kỳ nghiêm trọng, và do đó cần tách biệt hoàn toàn, chỉ cho phép truy cập rất hạn chế trong một dịch vụ riêng

    • Tôi làm ở ngành khác, nhưng khi cần xác minh danh tính thì chúng tôi chỉ trích xuất metadata tại thời điểm hiển thị thông tin rồi hủy ảnh ngay. Chuyện lưu lâu dài những hình ảnh như vậy mà không có sự chấp thuận của bộ phận pháp lý thì bình thường là không thể tưởng tượng nổi, nhất là với các trường hợp xác minh đơn giản như tuổi hay tên thì càng không có lý do

    • Cũng chưa chắc đã có chuyện họ lưu trữ; đó có thể chỉ là suy đoán không có căn cứ. Vụ rò rỉ lần này có thể là dữ liệu tạm thời bị lấy ra ngay trong lúc xử lý thông tin theo thời gian thực, chứ không nhất thiết là toàn bộ một kho lưu trữ tĩnh thường trực đã bị xâm nhập

    • Tôi đoán là họ có thể đã giữ lại một số ảnh giấy tờ gốc để kiểm tra tài khoản trùng lặp. Nếu mô hình machine learning nghi ngờ hai tài khoản là cùng một người, họ có thể dùng ảnh gốc để đối chiếu xác nhận trùng lặp

    • Ở EU (Liên minh châu Âu) thì ngược lại. Do GDPR (quy định bảo vệ dữ liệu chung), chỉ được dùng lượng dữ liệu tối thiểu và cấm dùng ngoài mục đích ban đầu, ví dụ dữ liệu nộp để xác minh độ tuổi thì sau khi xác minh xong bắt buộc phải xóa

  • ZenDesk khoe rằng “Discord đang cung cấp hỗ trợ liền mạch nhờ đầu tư vào self-service dựa trên AI của nền tảng Zendesk CX”