70.000 Discord kullanıcısının kimlik bilgileri sızmış olabilir

 (theverge.com)
1 puan yazan GN⁺ 2025-10-09 | 1 yorum | WhatsApp'ta paylaş
  • Discord, üçüncü taraf bir müşteri destek sağlayıcısındaki güvenlik olayı nedeniyle yaklaşık 70.000 kullanıcının devlet tarafından verilmiş kimlik fotoğraflarının açığa çıkmış olabileceğini açıkladı
  • Bu olay, Discord’un kendi sistemlerinde değil harici bir hizmet sağlayıcıda meydana geldi
  • Saldırganlar, gerçek etki boyutundan daha abartılı rakamlar yayarak Discord’a mali şantaj girişiminde bulundu
  • Etkilenen tüm kullanıcılara ayrı ayrı doğrudan bildirim yapıldı ve Discord, kolluk kuvvetleriyle ve diğer kurumlarla yakın iş birliği içinde çalışıyor
  • Etkilenen sağlayıcıyla sözleşme feshedildi ve güvenliği güçlendiren önlemler derhal uygulamaya alındı

Güvenlik olayına genel bakış

  • Discord, yakın zamanda üçüncü taraf bir müşteri hizmetleri sağlayıcısında meydana gelen güvenlik olayı hakkında resmi açıklama paylaştı
  • Yasa dışı eylemlerde bulunan faillerin internette yanlış bilgiler ve abartılı iddialar (mağdur sayısını şişirme) yayması nedeniyle kafa karışıklığı oluştu

Olayın özü

  • Hedef alınan sistem, Discord’un kendi sistemleri değil, müşteri hizmetleri desteği için kullanılan harici bir sağlayıcının sistemiydi
  • Harici sağlayıcıdaki veri sızıntısı nedeniyle en fazla yaklaşık 70.000 kullanıcının devlet tarafından verilmiş kimlik fotoğrafı açığa çıkmış olabilir
  • Söz konusu kimlik bilgileri, ağırlıklı olarak yaş doğrulama ve yaş kısıtlamalarıyla ilgili itirazların işlenmesi için kullanılıyordu

Discord’un yanıtı

  • Tüm etkilenen kullanıcılara ayrı ayrı bilgilendirme zaten tamamlandı
  • Discord, kolluk kuvvetleri, veri koruma otoriteleri ve harici güvenlik uzmanlarıyla iş birliğini sürdürüyor
  • Olayın yaşandığı harici sağlayıcıyla olan sözleşme derhal feshedildi
  • İlgili sistemdeki güvenlik önlemleri güçlendirildi

Discord’un ek açıklaması

  • Tehdit tarafının yanlış iddiaları ve yasa dışı eylemleri karşısında herhangi bir pazarlık ya da ödeme niyeti olmadığını vurguladı
  • Kişisel verilerin korunmasına yönelik sorumluluğunu ciddiyetle ele aldığını ve kullanıcıların endişelerini anladığını belirtti

İlgili okumalar

1 yorum

 
GN⁺ 2025-10-09
Hacker News görüşleri

  • Sanırım artık alaycı ve şüpheci birine dönüştüm, çünkü böyle şeyler artık bana hiç şaşırtıcı gelmiyor. Birine kişisel bilgilerinizi verdiğiniz anda, artık herkesin o bilgilere erişebileceğini varsayıyorum. Hizmet, TOS içinde “bilgileri üçüncü taraflara satmıyoruz” diye açıkça yazsa bile, eninde sonunda bir yerlerde gevşek bir güvenlik zinciri kırılıp veri sızıyor. Bunun tek bir şirketin hatası değil, hükümetlerin güçlü güvenlik önlemleri oluşturmaması ya da uygulatmaması nedeniyle sistem genelinde var olan bir sorun olduğunu düşünüyorum. Artık kişisel verilerin korunacağına dair beklentimi bıraktım; gerçekten önemli ve gizli kalmasını istediğim şeyleri en baştan dijitalleştirmiyorum, kopyalanmalarına da asla izin vermiyorum

    • Haberlerin yapılma nedeni insanları şaşırtmak değil; bunlar önemli meseleler olduğu için haber oluyor. Şu anda daha fazla hükümet yaş doğrulama yasaları geçiriyor ve tam da bu tür veriler daha fazla riskli özel şirkete teslim ediliyor. Bu sızıntı olayı, bu yasaların yanlış olduğunun kanıtı ve haberin geniş şekilde yayılması kamuoyunun farkındalığını değiştirmeye yardımcı olur

    • Sorunun kaynağı hükümet. Hükümet müşterilerden zorunlu olarak kimlik istemeyi dayattığı için bu sorun yaşanıyor. Bu veriyi hiç toplamamak dışında gerçek anlamda işe yarayan bir güvenlik önlemi yok. Hükümet zaten baştan düzgün bir güvenlik yöntemi de öneremiyor. Bu verilerin artık sonsuza kadar silinmemesi çok olası; Discord para ödese de ödemese de bu değişmeyecek

    • Bunun şaşırtıcı olmamasının sebebi, büyük cezaların olmaması. İnsanlar büyük sızıntılara karşı duyarsızlaştığı için doğru düzgün bir tepki de ortaya çıkmadı. Bir de büyük şirketlerin çıkarlarına gerçekten ters düşen yasaların geçmesinin zor olması da nedenlerden biri

    • Asıl saçma olan, sorumluluğun hep bireyin kaygıyla dikkatli olmasına yüklenmesi ama veriyi işleyen sistemlerin neredeyse hiçbir sonuç ya da ceza görmemesi

    • Kimlik doğrulamada Zero Knowledge (sıfır bilgi ispatı) teknolojisinin bir an önce gündelik hale gelmesi gerekiyor. Kişisel bilgileri açığa çıkarmadan kimlik ya da yaş doğrulaması yapabilen teknolojiler zaten var ama bunun geniş çapta yaygınlaşmasının uzun sürecek olması üzücü

  • En çok gözden kaçan büyük sorun, hassas kimlik verilerini işleyen üçüncü taraf şirketlerdeki şeffaflık eksikliği. Her veri sızıntısında şirketler, veriyi gerçekte hangi firmanın işlediğini net şekilde açıklamıyor. Bu belirsizlik yüzünden kullanıcılar bilgilerinin nerede kaldığını bilmiyor ve şirketleri gerçekten denetleme ya da denetlenmelerini sağlama fırsatı bile bulamıyor. Bu katman düzenlenmedikçe sızıntılar da sürecek, sorumluluğun kimde olduğu da netleşmeyecek

    • Bu üçüncü taraf şirket katmanı, veri sızıntısı ekosisteminin “karanlık maddesi”. Kullanıcılar için görünmez, şirketler de neredeyse hiç bahsetmiyor, sorun çıkınca da gerçek anlamda sorumluluk almıyor

  • Discord, Zendesk kullanıyor(bkz.). Ama bu resmi açıklamada, compromised (ihlal edilen) üçüncü tarafın kim olduğu söylenmedi ve Zendesk de bunun kendi hizmeti olmadığını söyledi. O hâlde Discord başka hangi üçüncü tarafı kullanıyordu ve tam olarak kimin itibarını korumaya çalışıyorlar, merak ediyorum

  • Kimlikleri neden özellikle sakladıklarını anlamıyorum. Yaş doğrulaması tamamlandıysa bu yeterli olmalı; neden elde tutmaya devam ediyorlar? Bu tür şirketler, bir olay yaşandığında Google ya da Cloudflare gibi düzgün olay açıklaması yayınlamaya zorlanmalı

  • Şirketler genelde kimlikleri yalnızca doğrulama için kullanıp hemen sildiklerini vaat ediyor. O zaman bu kadar çok kimlik nasıl sızabiliyor, anlamıyorum. Gerçekten her ay milyonlarca doğrulama mı yapıyorlar diye merak ediyorum

    • Discord’un bilgilendirme mesajında (Avustralya için) “Sağladığınız bilgiler yalnızca yaş grubunu doğrulamak için kullanılır ve doğrulamadan hemen sonra silinir” yazıyor(ekran görüntüsü). Ben hâlâ göndermedim ama yüz tanıma sürecini nasıl kandırabileceğimi düşünüyorum. Ölçeği ne olursa olsun bir sohbet uygulamasına devlet kimliği vermek istemiyorum. Bu arada yaş sınıflandırması için “13~18 yaş, 18 yaş üstü” yeterli olmalı diye düşünüyorum. Bundan daha fazla ayrıntı sadece pazarlama ve veri analizi için kullanılıyormuş gibi geliyor

    • Önceki resmi açıklamada, “yetkisiz bir kişi, ‘yaşın yeniden değerlendirilmesini’ talep eden bazı kullanıcıların devlet kimliği görsellerini sınırlı sayıda görüntüledi” denmişti(kaynak). Bu durumda, itiraz işleme süreci nedeniyle kimliklerin bir süre tutulması gerekmiş olabilir. İtirazlar uzun sürdüğü için veriler uzun süre tutulmuş ve bu yüzden sızmış olabilir

    • Ya vaat edilen anında silme yalandı ya da taşeron üçüncü taraf şirket veriyi ayrıca sakladı

    • Kurallar gereği kimlik doğrulama şirketleri kimlik bilgilerini 3 yıla kadar saklayabiliyor. Şirketler bunları güvenlik ve dolandırıcılık tespiti için makine öğrenimi eğitiminde de kullanıyor

    • TOS içinde gerçekten silineceği açıkça yazıyor muydu ve ne kadar hızlı silineceği somut biçimde belirtilmiş miydi, merak ediyorum. Bu tür ifadeler (“hemen”, “yakında”) sözleşmede net yazılmadığında çok farklı yorumlanabiliyor ve bazı durumlarda hükümetler veri saklamayı yasal olarak zorunlu da kılabiliyor

  • Daha fazla hükümetin, Almanya’nın elektronik kimliği (eID) gibi sadece yaşınızı kanıtlamaya yarayan sistemler sunması gerektiğini düşünüyorum. Gerçekten gerekli ama pratikte kullanımı zor olduğu için yaygınlaşmaması üzücü

    • Belçika’da “itsme” adlı bir hizmet var. Çok uzun zamandır mevcut; önce daha çok devlet odaklıydı ama artık bankalar da yaygın biçimde kullanıyor

    • Alman eID’si sadece kullanışsız değil; hizmete entegre etmek ve bağlamak da kolay değil, ayrıca maliyetli. Hatta sanki ticari sistemlerin (ücretli çözümlerin) kullanılmasını teşvik etmek için tasarlanmış gibi geliyor(ayrıntılar)

  • Discord’a devlet kimliği yüklemek aptallık

    • Birleşik Krallık’ta Online Safety Act’e uyum için, 13 yaş üstü free speech kanallarına erişebilmek adına kimliğinizi Discord’a kanıtlamanız gerekiyor

    • 13 yaş altı diye banlanmak sık görülen bir şey. Mesela biri fotoğraftaki mumların sayısını sorar, siz cevap verirsiniz; sonra sohbet kaydını “kaç yaşındasın?” şeklinde düzenlerlerse cevabınız bir anda yaşınızı söylemişsiniz gibi görünür. Discord, eskiden MSN Messenger ya da Yahoo IM neyse onun gibi; dijital çevreniz ve sunucu geçmişinizin tamamı bu tek hesaba bağlı. Hesabı kaybedince arkadaşlarınız ve topluluklarınız da gidiyor; bu yüzden doğrulamadan bir hafta sonra kimlik bilgilerinin tamamen silinmesi ya da hesap panelinden tamamen kaldırılabilmesi gerekir

    • Kullanıcıyı suçlamak doğru değil. Şirket, hükümet yasaları nedeniyle bu politikaları uyguluyor ve 18 yaş üstü doğrulamasını zorunlu kılıyor. Ben de önce yüz tanıma AI ile doğrulamayı denedim ama bir türlü olmadı; sonunda önerildiği gibi destek ekibiyle iletişime geçtim ve Discord’un “doğrulamadan sonra kimliği hemen siliyoruz” şeklindeki resmi politikasını görüp yükledim(politika) (silme politikası). Ama Discord söz verdiği gibi silemedi ve veriler sızdırıldı. Tüm sorumluluk üçüncü taraf şirkette, veriyi özensiz yöneten Discord’da ve bu politikaları dayatan hükümette. Bizim gibi teknolojiye hâkim insanlar self-hosting ya da alternatif yolları kolayca bulabilir ama genel kullanıcı kitlesi bunu yapamaz. Umarım bu olay, ileride bu tür zorunlu doğrulama politikalarına karşı direnç oluşturur. Ama Birleşik Krallık hükümeti muhtemelen “çocukları koruyoruz” deyip tüm suçu Discord’a yıkacaktır

    • Zaten çok sayıda kripto borsasında ehliyetim, pasaportum ve diğer kimlik belgelerim kayıtlı. Kaçınılmaz gerçek bu; gerçek KYC için video ile kimlik doğrulama da şart

  • “Üçüncü tarafın suçu” açıklaması artık fazlasıyla sıradan bir kalıp oldu. Devlet kimliği gibi hassas bilgileri topluyorsanız, veri kimin elinde olursa olsun ilgili güvenlik en üst seviyede olmak zorunda

  • Sadece merakımdan soruyorum: Yaş doğrulaması tamamlandıktan sonra bile bu tür verilerin saklanması yasal olarak zorunlu mu?

    • Bu olaydaki en tuhaf nokta da bu bence. Neden böyle bir sorumluluğu üzerlerine aldıklarını anlamıyorum. Gerçekten saklamak zorundalarsa, sızarsa felaket olacağını varsayıp tamamen ayrılmış, erişimi çok kısıtlı ayrı bir hizmette tutmaları gerekir

    • Ben başka bir sektördeyim ama kimlik doğrulaması gerektiğinde, bilgi görüntülendiği anda yalnızca metadata çıkarıp görseli hemen imha ediyoruz. Hukuk ekibinin onayı olmadan böyle görsellerin uzun süre saklanması genelde düşünülemez bile; yaş ya da isim gibi basit doğrulamalar için hiç gerekçesi yok

    • Bunun gerçekten saklandığını söylemek de temelsiz bir varsayım olabilir. Bu sızıntı, bilgilerin işlenme sürecinde gerçek zamanlı olarak ele geçirilmiş geçici verilerle ilgili olabilir; sürekli tutulan statik bir veri deposunun tamamı ihlal edilmiş olmayabilir

    • Tahminimce, yinelenen hesap denetimi için bazı orijinal kimlik görsellerini saklamış olabilirler. Makine öğrenimi modeli iki hesabın aynı kişiye ait olduğundan şüphelenirse, özgün görsellerle karşılaştırıp tekrar kontrol etmek için kullanıyor olabilirler

    • AB’de (Avrupa Birliği) durum tam tersi. GDPR nedeniyle mümkün olan en az veri kullanılmalı ve amaç dışı kullanım yasak; örneğin yaş doğrulaması için gönderilen veri, doğrulama bittikten sonra mutlaka silinmeli

  • ZenDesk, “Discord’un Zendesk CX platformunun yapay zeka destekli self-service yatırımıyla sorunsuz destek sunduğunu” övüyor