Утечка данных: возрастная верификация как цель хакеров

Современные веб-сайты активно внедряют системы проверки возраста пользователей, используя для этого различные методы. Одним из таких способов является применение искусственного интеллекта для анализа фотографий, определяющего, соответствует ли возраст пользователя установленным требованиям. Другие платформы запрашивают сканы документов, удостоверяющих личность, например, водительских прав или паспортов, а также данные кредитных карт.

Однако, эти процедуры сбора персональной информации создают настоящий клад для киберпреступников. Недавние инциденты ярко продемонстрировали уязвимости в сфере конфиденциальности и безопасности, связанные с верификацией возраста.

В октябре 2025 года платформа Discord, популярная среди геймеров, подверглась взлому, в результате которого были похищены данные пользователей. Компания сообщила, что инцидент затронул около 70 000 пользователей по всему миру, чьи фотографии документов могли попасть в руки злоумышленников. Утечка произошла через стороннего поставщика услуг, при этом точные обстоятельства взлома остаются неясными. Discord ввел возрастную верификацию для выполнения требований британского Закона о безопасности в Интернете (Online Safety Act), который предписывает сайтам с порнографическим или вредоносным контентом внедрить такие проверки к 25 июля 2025 года.

Аналогичный инцидент произошел в июле 2025 года с приложением Tea, позволяющим женщинам анонимно обмениваться информацией о мужчинах в целях безопасности. Для регистрации в приложении требовалось предоставить селфи и фото документа, удостоверяющего личность. В результате взлома в открытый доступ попали эти материалы, а также переписки пользователей.

Серьезные последствия

Эти взломы поднимают вопросы о соблюдении политик конфиденциальности, практик безопасности и законодательства о защите данных (GDPR). Discord заявлял, что не хранит документы, удостоверяющие личность, и видеоселфи, удаляя их сразу после подтверждения возраста. Однако, утечки показывают, что это не всегда соответствует действительности.

Последствия таких утечек могут быть весьма серьезными. Похищенные фотографии и сканы документов могут привести к краже личных данных и мошенничеству. Доступность технологий deepfake и генеративного ИИ делает эти преступления особенно изощренными.

Стоит отметить, что сторонние поставщики услуг часто становятся уязвимым звеном, которым активно пользуются киберпреступники. Это подтверждается недавними взломами Министерства обороны Великобритании, супермаркета Co-op и M&S.

Рост числа систем проверки возраста обусловлен новыми законодательными актами, такими как французский закон о регулировании цифрового пространства, Цифровой закон ЕС и законы о безопасности в Интернете в Великобритании и Австралии. Эти законы признают недостаточной простую декларацию возраста пользователем, требуя более надежных методов, таких как сравнение фотографий с документами или проверка кредитных карт.

Министерство науки, инноваций и технологий Великобритании в своем пресс-релизе подчеркнуло, что меры по подтверждению возраста должны осуществляться без сбора и хранения личных данных, за исключением случаев крайней необходимости. Эти правила соответствуют требованиям GDPR. Однако, инциденты с приложениями Tea и Discord демонстрируют неспособность регуляторов контролировать хранение и удаление данных, особенно когда сторонние компании расположены за пределами Великобритании.

Эти события указывают на необходимость тщательной проверки процессов внедрения и использования возрастных верификаций, а также усиления регулирования обработки данных с соответствующими полномочиями по обеспечению соблюдения, особенно при работе со сторонними компаниями.