Una violazione di dati che coinvolge decine di migliaia di documenti d’identità, un tentativo di estorsione e la ferma posizione di un gigante tech che si rifiuta di cedere al ricatto. La vicenda che ha colpito Discord rappresenta l’ennesimo esempio della sicurezza dei dati personali nell’era digitale, come per i recenti problemi legati a Instagram e a tutta la società Meta. Secondo quanto dichiarato da Nu Wexler, portavoce ufficiale di Discord, circa 70.000 utenti potrebbero aver visto le foto dei propri documenti d’identità governativi rubate a seguito di una violazione che ha colpito un fornitore esterno di servizi di customer service. Un numero significativo, ma ben lontano dalle cifre gonfiate che gli autori dell’attacco hanno fatto circolare online nel tentativo di aumentare la pressione sulla compagnia.
La vicenda ha preso una piega pubblica quando vx-underground, account noto per monitorare attività di cybersecurity, ha twittato che Discord era sotto estorsione per una presunta violazione della sua istanza Zendesk. Gli attaccanti sostenevano di possedere 1,5 terabyte di foto relative alla verifica dell’età, per un totale di oltre 2,1 milioni di immagini. Numeri impressionanti che, tuttavia, Discord ha prontamente smentito definendoli “parte di un tentativo di estorcere un pagamento“.
Chat, we are cooked
Discord is being extorted by the people who compromised their Zendesk instance
They've got 1.5TB of age verification related photos. 2,185,151 photos
tl;dr 2.1m Discord users drivers license and/or passport might be leaked. Unknown number of e-mails
— vx-underground (@vxunderground) October 8, 2025
Ma cosa è successo realmente? Il breach non ha colpito direttamente i server di Discord, bensì un servizio di terze parti utilizzato dalla piattaforma per gestire le richieste di assistenza clienti. In particolare, il fornitore compromesso aveva accesso a documenti d’identità inviati dagli utenti per risolvere questioni legate ai limiti di età. Discord, come molte piattaforme social, richiede che gli utenti abbiano almeno 13 anni per creare un account. Quando un utente viene bloccato perché sospettato di essere minorenne, può presentare ricorso inviando un documento che provi la sua età effettiva. Sono proprio queste immagini ad essere finite nelle mani sbagliate.
I documenti compromessi non sono l’unico tipo di informazione esposta. Secondo l’annuncio ufficiale della settimana scorsa, la violazione potrebbe aver interessato anche nomi, username, indirizzi email, le ultime quattro cifre delle carte di credito e indirizzi IP. Un insieme di dati che, combinati, possono fornire un profilo abbastanza dettagliato degli utenti coinvolti e aprire la porta a potenziali attacchi di phishing o furto d’identità. La posizione di Discord è stata chiara fin da subito: nessun negoziato con i criminali informatici. “Non ricompenseremo chi è responsabile per le proprie azioni illegali“, ha dichiarato Wexler, ribadendo che tutti gli utenti coinvolti a livello globale sono stati contattati. L’azienda ha inoltre confermato di aver messo in sicurezza i sistemi compromessi e di aver interrotto la collaborazione con il fornitore violato.
Ma cosa rischi concretamente se fai parte dei 70.000 utenti i cui documenti sono stati rubati? In primo luogo, il furto d’identità, con una copia di un documento, un malintenzionato può tentare di aprire conti bancari, richiedere prestiti o commettere frodi a nome della vittima. Inoltre, la combinazione di foto del documento con altri dati personali come email e indirizzi IP può facilitare attacchi di social engineering molto sofisticati, dove i criminali si spacciano per enti ufficiali per estorcere ulteriori informazioni o denaro.
Per gli utenti Discord che potrebbero essere stati colpiti, la raccomandazione è di rimanere vigili. Fate molta attenzione a email o messaggi sospetti che richiedono informazioni personali, anche se sembrano provenire da fonti ufficiali. Monitorare i propri estratti conto e considerare l’attivazione di servizi di monitoraggio del credito può essere una mossa prudente. E se si riceve una comunicazione diretta da Discord riguardo all’incidente, è importante verificare che sia autentica prima di cliccare su qualsiasi link. Purtroppo ogni dato che condividiamo online, anche per scopi legittimi come la verifica dell’età, comporta un rischio. La domanda non è se i nostri dati siano al sicuro in assoluto, ma quanto le piattaforme che utilizziamo siano preparate a rispondere quando l’inevitabile violazione si verifica. Nel caso di Discord, la risposta è stata trasparenza, rifiuto del ricatto e supporto agli utenti. Resta da vedere se sarà sufficiente a limitare i danni per quei 70.000 utenti i cui volti e documenti ora circolano in ambienti dove non avrebbero mai dovuto finire.
