Wenn das System den Angreifer schützt

Die Tochter von Brady Frey war 12 Jahre alt, als sie ihr Discord-Konto erstellte und sich selbst als älter als 18 angab. Als ihr Konto gehackt wurde, vergingen acht Tage, bevor Discords Support handelte — und nur, weil Ars Technica intervenierte. In diesen acht Tagen wurden 38 ihrer Freunde mit einem dokumentierten Social-Engineering-Scam angegriffen. Zwei sind offensichtlich darauf hereingefallen.

←HEUTE: Discords Support schliesst Tickets automatisch mit der Anweisung, innerhalb der App zu berichten — eine Anweisung, die ein gesperrter Benutzer nicht befolgen kann.
→3012: Governance-Frameworks verpflichten Echtzeit-Eskalationen bei Kindergefährdung mit überprüfbaren Response-SLAs, nicht Chatbot-Routing.
Fulcrum: Der Kontrollmechanismus hier ist nicht Böswilligkeit — es ist Kostenreduktions-Automatisierung, die nie gegen einen gesperrten Minderjährigen mit aktiv operierendem Angreifer getestet wurde.

Der Angriffsvektor ist nicht exotisch. Bitdefender kennzeichnete dieses exakte Muster — ein gehacktes Konto, das sich als Opfer ausgibt und behauptet, Freunde versehentlich als Hacker gemeldet zu haben, und drängt sie, auf Verifikations-Links zu klicken — als „weit verbreitet” auf Discord in einem Februar-2025-Bericht. Der Angreifer benötigte keine ausgefeilten Werkzeuge. Er brauchte einen Phishing-Link, ein Konto ohne zwei-Faktor-Authentifizierung und Discords langsam arbeitende Support-Queue.

Alle drei Bedingungen waren erfüllt.

Das Kontrollproblem

Discords Chatbot Clyde und ein Support-Agent namens Nelly schlossen Freys Tickets automatisch und wiesen die Familie an, das Problem innerhalb der App zu melden. Frey erklärte schriftlich ausdrücklich, dass ein Minderjährigen-Konto kompromittiert war, dass andere Minderjährige aktiv angegriffen wurden, und dass der Angreifer aus einem schulischen sozialen Netzwerk operierte. Die Reaktion änderte sich nicht.

Das ist kein Support-Versagen im alltäglichen Sinne. Das ist ein Versagen der Berechtigungs-Architektur. Es gibt, laut Freys Bericht bei Ars Technica, keinen Eskalationspfad, auf dem ein Elternteil bei einem kompromittierten Minderjährigen-Konto eingreifen kann. Das System unterscheidet nicht zwischen einem gesperrten Erwachsenen und einem gesperrten 13-Jährigen, dessen Angreifer live Betrügereien betreibt. Beide bekommen Clyde.

Als der Zugriff endlich wiederhergestellt wurde, entdeckte Frey ein zweites Kontrollproblem: Discords Systeme können den Alterstatus eines Kontos nicht ändern, wenn es als 18+ erstellt wurde. Der einzige Remediations-Weg — Verbindung zu Family Center für Elternkontrollen — war durch diesen unveränderlichen Eintrag blockiert. Discords Antwort an Ars bestätigte, dass es derzeit keinen Mechanismus gibt, diese Einstellung zu ändern, obwohl die Plattform plant, künftig KI-gestützte Altersverifikation weltweit einzuführen.

Das zukünftige Rollout hilft den Konten nicht, die bereits mit gefälschten Altersangaben existieren. Discords Mindestalter von 13 Jahren orientiert sich an COPPA-Compliance-Standards; das EU Digital Services Act (DSA) erlegt Plattformen zusätzliche Verpflichtungen auf, um Minderjährige aktiv zu schützen. Ein Konto, das eine Plattform nicht korrigieren kann, um das tatsächliche Alter des Benutzers widerzuspiegeln, ist eine strukturelle DSA-Compliance-Lücke, nicht ein Roadmap-Item.

Atelier

Atelier: Architekturbüros und BIM-Teams, die Discord-nahe Plattformen nutzen — Slack, Teams oder Discord selbst, das in Design-Bildungs-Communities (einschliesslich PAZ-Gruppen) Verbreitung findet — sollten diesen Fall als Prüfbaustein für professionelle Risiko-Audits nehmen. Die 2FA-Lücke, die diesen Angriff ermöglichte, ist identisch mit der Lücke, die Projekt-Collaborations-Konten gefährdet. Die Support-Infrastruktur-Fragilität, die hier offengelegt wird, ist nicht Discord-spezifisch; sie ist endemisch für Plattformen, die menschliche Triage durch automatisiertes Routing ersetzten. Prüft jetzt die 2FA-Postur eures Teams und identifiziert, ob eure primäre Plattform einen menschlichen Eskalationspfad für Account-Übernahme-Szenarien hat, bevor ihr ihn benötigt.

Der scharfe Punkt

Discords Aussage an Ars besagt, die Plattform „nimmt solche Situationen ernst”. Acht Tage, zwei Ars-Technica-Interventionen, vier Wochen insgesamt, zwei kompromittierte Freunde und eine Support-Schleife, die das Opfer dafür bestraft, gesperrt zu sein — die Fakten unterstützen diesen Rahmen nicht. Was die Fakten unterstützen, ist, dass der Standard-Support-Workflow nie für den Umgang mit einem Minderjährigen in aktiver Gefahr ausgelegt war und es keinen Override gab.

Frey reichte letztendlich den Reisepass seiner Tochter ein, um ihr Alter zu bestätigen — trotz eines Discord-Bruchs, der letzten Herbst 70’000 IDs offenlegte — weil die Alternative der völlige Verlust des Kontos war. Das ist keine Lösung. Das ist ein Benutzer, der die Kosten eines Plattform-Architektur-Versagens trägt.

Aktiviert 2FA auf jedem professionellen Konto, das ihr haltet. Erzwingt es für jeden Mitarbeiter auf euren Projekt-Plattformen. Die Angriffsfläche, die Freys Tochter offenliess, ist dieselbe, die euren BIM-Modell-Zugriff und eure Client-Daten schützt.

Quelle: Ars Technica