70,000 Discord उपयोगकर्ताओं की पहचान पत्र जानकारी लीक होने की आशंका

 (theverge.com)
1 पॉइंट द्वारा GN⁺ 2025-10-09 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Discord ने बताया कि थर्ड-पार्टी customer support vendor में हुई सुरक्षा घटना के कारण लगभग 70,000 उपयोगकर्ताओं की सरकार द्वारा जारी पहचान पत्र की तस्वीरें उजागर हो सकती थीं
  • यह घटना Discord के अपने सिस्टम में नहीं, बल्कि बाहरी service provider में हुई
  • हमलावरों ने वास्तविक नुकसान की तुलना में बढ़ा-चढ़ाकर आंकड़े फैलाए और Discord को आर्थिक रूप से धमकाने की कोशिश की
  • प्रभावित सभी उपयोगकर्ताओं को व्यक्तिगत रूप से सीधे सूचना दे दी गई है, और Discord कानून प्रवर्तन एजेंसियों आदि के साथ करीबी सहयोग कर रहा है
  • प्रभावित vendor के साथ अनुबंध समाप्त कर दिया गया है, और सुरक्षा मजबूत करने के उपाय तुरंत लागू किए गए हैं

सुरक्षा घटना का सार

  • Discord ने हाल ही में थर्ड-पार्टी customer service company में हुई सुरक्षा घटना पर आधिकारिक बयान साझा किया
  • अवैध गतिविधि में शामिल हमलावर ऑनलाइन गलत जानकारी और बढ़ा-चढ़ाकर किए गए दावे (पीड़ितों की संख्या बढ़ाकर) फैला रहे हैं, जिससे भ्रम पैदा हो रहा है

घटना की प्रकृति

  • निशाना Discord का अपना सिस्टम नहीं, बल्कि customer service support के लिए उपयोग की जाने वाली बाहरी कंपनी का सिस्टम था
  • बाहरी कंपनी में डेटा एक्सपोज़र के कारण अधिकतम लगभग 70,000 उपयोगकर्ताओं की सरकार द्वारा जारी पहचान पत्र की तस्वीरें उजागर होने की आशंका बनी
  • यह पहचान पत्र जानकारी मुख्य रूप से उम्र सत्यापन और age-restricted अपीलों के निपटान के लिए इस्तेमाल की गई थी

Discord की प्रतिक्रिया

  • सभी प्रभावित उपयोगकर्ताओं को व्यक्तिगत रूप से सूचना पहले ही दे दी गई है
  • Discord कानून प्रवर्तन एजेंसियों, data protection authorities, और बाहरी सुरक्षा विशेषज्ञों के साथ लगातार सहयोग कर रहा है
  • घटना में शामिल बाहरी कंपनी के साथ अनुबंध तुरंत समाप्त कर दिया गया
  • संबंधित सिस्टम के लिए सुरक्षा उपायों को मजबूत किया गया

Discord का अतिरिक्त बयान

  • धमकी देने वाले पक्ष के गलत दावों और अवैध गतिविधियों के सामने किसी भी तरह का सौदा (मुआवजा) करने की कोई मंशा नहीं होने पर जोर दिया गया
  • कंपनी ने कहा कि वह निजता संरक्षण की जिम्मेदारी को बेहद गंभीरता से लेती है और उपयोगकर्ताओं की चिंताओं को समझती है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-10-09
Hacker News की राय

  • मुझे लगता है कि अब मैं काफी निंदक और संशयवादी हो चुका हूँ, लेकिन अब ऐसी बातें बिल्कुल भी चौंकाती नहीं हैं। अगर आप किसी को अपनी personal information देते हैं, तो अब मानकर चलना चाहिए कि अंततः हर किसी की उस तक पहुँच हो जाएगी। भले ही कोई service अपने TOS में लिखे कि वह जानकारी को ‘तीसरे पक्ष को नहीं बेचती’, आखिरकार कहीं न कहीं सुरक्षा ढीली पड़ेगी और डेटा लीक हो ही जाएगा। मुझे नहीं लगता कि यह सिर्फ किसी एक कंपनी की गलती है, बल्कि यह पूरे सिस्टम की समस्या है जहाँ सरकारें मजबूत security measures न तो बनाती हैं और न लागू करती हैं। अब मैंने यह उम्मीद ही छोड़ दी है कि personal data सुरक्षित रहेगा, और जो जानकारी सच में महत्वपूर्ण है और private रहनी चाहिए, उसे मैं शुरुआत से ही digital नहीं करता, और उसकी copy भी कभी नहीं बनने देता

    • खबरें लोगों को चौंकाने के लिए नहीं, बल्कि इसलिए प्रकाशित होती हैं क्योंकि यह एक महत्वपूर्ण मुद्दा है। अभी और अधिक सरकारें age verification laws पारित कर रही हैं, और ठीक इसी वजह से ऐसा डेटा और ज़्यादा खतरनाक private companies के हाथों में जा रहा है। यह breach दिखाती है कि ऐसे कानून गलत हैं, और इस घटना की जानकारी व्यापक रूप से फैलाना public awareness बदलने में मदद करेगा

    • समस्या की जड़ सरकार है। सरकार ने कंपनियों को ग्राहकों से अनिवार्य रूप से government ID माँगने पर मजबूर किया, इसलिए यह स्थिति बनी। इस डेटा को इकट्ठा ही न करना, इसके अलावा कोई वास्तविक सुरक्षा उपाय है ही नहीं। सरकार ने शुरू से कोई ठीक security model भी पेश नहीं किया। अब इस डेटा के हमेशा के लिए मिट न पाने की आशंका है, चाहे Discord इसके लिए पैसे दे या न दे

    • यह बात इसलिए भी चौंकाने वाली नहीं रही, क्योंकि बड़े दंड कभी हुए ही नहीं। लोग बड़े breaches के इतने आदी हो गए हैं कि कोई ठोस प्रतिक्रिया लगभग होती ही नहीं। और व्यावहारिक रूप से ऐसा legislation पास होना भी मुश्किल है जो बड़ी कंपनियों के हितों के खिलाफ जाए

    • सबसे बेतुकी बात यह है कि जिम्मेदारी हमेशा घबराकर सावधान रहने वाले व्यक्ति पर डाल दी जाती है, जबकि डेटा संभालने वाले सिस्टम पर लगभग कोई असर या सज़ा नहीं होती

    • identity verification में Zero Knowledge तकनीक को जल्द से जल्द आम होना चाहिए। ऐसी तकनीक पहले से मौजूद है जिससे personal data उजागर किए बिना identity या age verify की जा सकती है, लेकिन अफसोस है कि इसे आम लोगों तक पहुँचने में अभी काफी समय लगेगा

  • सबसे ज़्यादा नज़रअंदाज़ की जाने वाली बड़ी समस्या यह है कि sensitive IDs संभालने वाले third-party vendors में transparency की कमी है। हर बार breach होने पर कंपनियाँ यह साफ़ नहीं बतातीं कि वास्तव में डेटा किस vendor ने handle किया। इस अपारदर्शिता की वजह से users को यह पता ही नहीं चलता कि उनकी जानकारी कहाँ बची हुई है, और practically vendors की निगरानी या जवाबदेही तय करने का मौका भी नहीं मिलता। जब तक इस layer को regulate नहीं किया जाएगा, breaches जारी रहेंगे और जिम्मेदारी भी धुंधली बनी रहेगी

    • third-party vendor की यह layer data breach ecosystem का ‘dark matter’ है। users के लिए यह लगभग अदृश्य होती है, कंपनियाँ भी इसका नाम शायद ही लेती हैं, और समस्या होने पर यह सही मायने में जिम्मेदारी भी नहीं लेती

  • Discord Zendesk का उपयोग करता है(संदर्भ). लेकिन इस बार के official statement में यह नहीं बताया गया कि compromised third party कौन थी, और Zendesk ने कहा कि यह उनकी service नहीं थी। तो फिर सवाल है कि Discord और किस third party का उपयोग कर रहा था, और आखिर किसकी reputation बचाई जा रही है

  • समझ नहीं आता कि IDs को स्टोर ही क्यों किया जा रहा है। age verification पूरी हो जाए तो वही काफी होना चाहिए, फिर उन्हें संभालकर क्यों रखा जाता है? ऐसी कंपनियों को incident होने पर Google या Cloudflare की तरह ठीक से incident details disclose करने के लिए मजबूर किया जाना चाहिए

  • कंपनियाँ आम तौर पर वादा करती हैं कि वे IDs को सिर्फ verification के लिए इस्तेमाल करके तुरंत delete कर देती हैं। फिर सवाल है कि इतनी सारी IDs लीक कैसे हो गईं। क्या वे सच में हर महीने लाखों submissions verify कर रही हैं?

    • Discord के guidance message (Australia के लिए) में लिखा है, “आपकी दी गई जानकारी केवल age group verification के लिए इस्तेमाल होगी, और verification के बाद तुरंत delete कर दी जाएगी”(screenshot). मैंने अभी तक submit नहीं किया है, लेकिन सोच रहा हूँ कि face recognition process को कैसे bypass किया जा सकता है। मैं किसी भी scale के chat app को government ID नहीं देना चाहता। वैसे भी age brackets के लिए ‘13~18, 18+’ काफी है। इससे ज़्यादा granular वर्गीकरण तो बस marketing और data analysis के लिए लगता है

    • पहले के official statement में कहा गया था कि “कुछ users की government ID images, जिन्होंने ‘age re-review’ का अनुरोध किया था, उन्हें unauthorized व्यक्ति ने सीमित संख्या में देखा”(source). ऐसे मामलों में appeal handling process के कारण IDs को कुछ समय तक रखना पड़ सकता है। क्योंकि objections के निपटारे में लंबा समय लग सकता है, इसलिए संभव है कि वे लंबे समय तक रखी गईं और फिर leak हो गईं

    • या तो promised immediate deletion झूठ था, या outsourced third party ने अलग से डेटा अपने पास रखा हुआ था

    • नियमों के तहत identity verification कंपनियाँ ID जानकारी को अधिकतम 3 साल तक रख सकती हैं। कंपनियाँ इसे security और fraud detection के लिए machine learning training में भी इस्तेमाल करती हैं

    • जानना दिलचस्प होगा कि क्या TOS में वास्तव में deletion का साफ़ उल्लेख था, और कितनी जल्दी delete करने की बात specifically लिखी गई थी। ऐसे शब्द (‘तुरंत’, ‘जल्द’) अगर contract में स्पष्ट न हों तो उनकी व्याख्या अलग-अलग हो सकती है, और कुछ मामलों में सरकार कानूनन data retention अनिवार्य भी कर सकती है

  • मेरा मानना है कि और अधिक सरकारों को Germany के electronic ID (eID) जैसा सिस्टम देना चाहिए, जिसमें व्यक्ति केवल अपनी उम्र साबित कर सके। इसकी सच में ज़रूरत है, लेकिन अफसोस है कि इसे practically इस्तेमाल करना मुश्किल है और इसलिए यह कम उपयोग में आता है

    • Belgium में “itsme” नाम की service है। यह काफी समय से है, शुरुआत सरकार-केंद्रित थी, लेकिन अब बहुत से banks भी इसे अपना चुके हैं

    • Germany का eID सिर्फ असुविधाजनक नहीं है, बल्कि services में इसे integrate करना आसान नहीं और महंगा भी है। बल्कि ऐसा लगता है कि इसे इस तरह बनाया गया है कि लोग commercial systems (paid solutions) का उपयोग करें(विवरण)

  • government ID को Discord पर अपलोड करना बेवकूफी है

    • UK में Online Safety Act compliance के लिए 13+ free speech channels तक पहुँचने हेतु अपनी पहचान Discord को साबित करनी पड़ती है

    • 13 साल से कम उम्र का समझकर ban होना काफी आम है। उदाहरण के लिए कोई तस्वीर में candles की संख्या पूछे और आपने जवाब दिया, फिर अगर chat को edit करके “तुम्हारी उम्र क्या है?” बना दिया जाए, तो आपका जवाब अचानक उम्र बताने जैसा दिखने लगता है। Discord पुराने MSN Messenger या Yahoo IM जैसा है, और आपकी digital social graph व server history सब इसी एक account पर टिकी होती है। account खोने पर दोस्त, community सब छूट जाते हैं, इसलिए identity verify होने के एक हफ्ते बाद ID information पूरी तरह delete हो जानी चाहिए, या account panel से इसे हटाने का विकल्प होना चाहिए

    • users को दोष देना सही नहीं है। कंपनी ने सरकारी कानूनों के कारण policy बनाई और 18+ verification अनिवार्य किया। मैंने भी face recognition AI से verify करने की कोशिश की, लेकिन वह इतना खराब चला कि आखिरकार recommendation के अनुसार customer support से संपर्क करना पड़ा, और Discord की इस official policy को देखकर upload किया कि “verification के बाद ID तुरंत delete कर दी जाएगी”(policy) (deletion policy). लेकिन Discord वादे के मुताबिक delete नहीं कर पाया और डेटा leak हो गया। पूरी जिम्मेदारी third party, डेटा को ढीले तरीके से संभालने वाले Discord, और ऐसी policy थोपने वाली सरकार—तीनों की है। हमारे जैसे tech-savvy लोग self-hosting या workaround आसानी से ढूँढ सकते हैं, लेकिन आम लोगों के लिए यह संभव नहीं। उम्मीद है कि यह घटना आगे ऐसी forced verification policies के खिलाफ resistance का कारण बनेगी। लेकिन UK सरकार शायद “बच्चों की सुरक्षा” का नारा लगाते हुए पूरा दोष Discord पर ही डाल देगी

    • मेरे driving licence, passport और दूसरी IDs पहले ही कई crypto exchanges में जमा हैं। यही मजबूरी वाली हकीकत है, और असली KYC में video identity verification process भी अनिवार्य होता है

  • “तीसरे पक्ष की गलती” वाला स्पष्टीकरण अब बहुत आम pattern बन गया है। अगर आप government ID जैसी sensitive information इकट्ठा कर रहे हैं, तो data चाहे जिसके पास हो, उससे जुड़ी security top-tier होनी ही चाहिए

  • बस जिज्ञासावश पूछ रहा हूँ — age verification पूरी होने के बाद भी क्या ऐसे डेटा को रखना कानूनी रूप से आवश्यक होता है?

    • यही इस घटना का सबसे अजीब हिस्सा है। समझ नहीं आता कि कोई स्वेच्छा से ऐसी liability क्यों लेगा। अगर सच में store करना ही पड़े, तो यह मानकर कि leak होने पर भयंकर नुकसान होगा, इसे पूरी तरह isolated, कड़ी तरह restricted access वाली अलग service में रखना चाहिए

    • मैं दूसरे domain में काम करता हूँ, लेकिन जब identity verification की ज़रूरत होती है, तो information display के क्षण metadata निकालकर image तुरंत discard कर दी जाती है। legal team की अनुमति के बिना ऐसी images को लंबे समय तक store करना सामान्यतः अकल्पनीय है, और उम्र या नाम जैसी साधारण verification के लिए तो इसकी और भी कम वजह है

    • यह भी हो सकता है कि storing की बात सिर्फ बिना आधार का अनुमान हो। संभव है कि इस breach में processing pipeline के दौरान real-time में अस्थायी डेटा निकाला गया हो, और कोई स्थायी static datastore पूरी तरह compromise न हुआ हो

    • मेरा अनुमान है कि duplicate account auditing के लिए कुछ original ID images रखी गई हों। अगर machine learning model को शक हो कि दो accounts एक ही व्यक्ति के हैं, तो duplicate confirm करने के लिए original images से तुलना की जाती होगी

    • EU (European Union) में तो इसका उलटा है। GDPR के कारण केवल न्यूनतम आवश्यक डेटा इस्तेमाल किया जा सकता है, और उद्देश्य के बाहर उसका उपयोग प्रतिबंधित है; उदाहरण के लिए age verification के लिए जमा किया गया डेटा verification के बाद अनिवार्य रूप से delete होना चाहिए

  • Zendesk यह कहकर शेखी बघारता है कि “Discord, Zendesk CX platform में AI-powered self-service investment के जरिए seamless support दे रहा है”