【安全资讯】身份验证法规加剧数据泄露危机，Discord第三方泄露政府ID文件

概要：

随着全球身份验证法规的普及，企业被迫收集大量敏感数据，却面临严峻的安全挑战。2025年10月，Discord因第三方客服提供商遭攻击导致政府ID文件泄露，凸显了法律强制数据收集与安全能力不匹配的困境。这一事件警示，在监管压力下，数据最小化原则正被颠覆，组织需重新评估数据保护策略。

主要内容：

2025年10月初，Discord披露其第三方客服提供商遭网络攻击，导致用户支持数据外泄。除常规信息外，攻击者窃取了政府签发的身份证明文件图像，这些文件是用户为申诉未成年封禁而提交的。泄露根源在于全球年龄验证法规的强制要求，企业必须收集驾照、护照等ID数据，否则面临高额罚款。

此次攻击通过第三方服务商漏洞得逞，暴露了供应链安全薄弱环节。攻击者利用客服系统的访问权限，窃取未加密存储的ID图像，反映出数据保护链条的断裂。法规迫使组织存储高敏感个人信息，但许多企业缺乏足够基础设施安全防护，形成“收集即风险”的恶性循环。

受影响的不仅限于科技行业，医疗、金融、教育等涉及公众服务的机构均可能面临类似监管要求。每个新增的ID数据库都成为潜在泄露源，一旦失守将引发监管处罚、诉讼和信誉崩塌。对中小企业而言，单次重大PII泄露足以造成毁灭性打击。

管理服务提供商（MSP）因托管多客户数据而风险加剧。传统MSP采用分散工具栈，导致安全策略不一致、监控盲点频现。专家建议通过原生集成平台统一网络安全、数据保护和终端管理，缩减攻击面，以应对法规驱动的数据膨胀浪潮。