Il 3 ottobre 2025, Discord ha riferito che degli hacker avevano compromesso uno dei suoi fornitori terzi di assistenza clienti e supporto (5CA), e presumibilmente rubato almeno 70.000 immagini(nuova finestra) di documenti di identità emessi dal governo (come passaporti o patenti di guida) utilizzati per la verifica dell’età.

Secondo Discord, altre informazioni sensibili che sono state rubate includono:

  • Nomi, nomi utente Discord, indirizzi email e altri dettagli di contatto che gli utenti hanno fornito per ricevere supporto.
  • Messaggi o trascrizioni di conversazioni con agenti di supporto (ad esempio, ciò che gli utenti hanno comunicato con i team di supporto).
  • Metadati limitati di fatturazione e pagamento, incluso metodo di pagamento, cronologia acquisti e le ultime quattro cifre delle carte di credito.
  • Indirizzi IP associati alle interazioni di supporto.
  • “Dati aziendali limitati” come materiali di formazione o presentazioni interne archiviate nel sistema di supporto.

Dice inoltre che non si è acceduto ai seguenti tipi di informazioni sensibili:

  • Numeri completi di carte di credito e codici di sicurezza (CCV)
  • Messaggi o attività su Discord oltre a ciò che gli utenti potrebbero aver discusso con l’assistenza clienti
  • Password o dati di autenticazione

La violazione apparentemente(nuova finestra) è iniziata il 20 settembre(nuova finestra) dopo che gli aggressori hanno compromesso l’account di un agente di supporto e hanno avuto accesso ai dati degli utenti Discord per circa 58 ore. Discord sta contattando tutti gli utenti colpiti via email a noreply@discord.com.

La motivazione degli attacchi sembra essere interamente finanziaria, con la richiesta iniziale di riscatto degli hacker di 5 milioni di dollari successivamente ridotta a 3,5 milioni di dollari. Il portavoce di Discord ha detto a The Verge(nuova finestra) che Discord “non ricompenserà i responsabili per le loro azioni illegali”.

Tuttavia, ci sono rapporti contrastanti sulla portata dell’attacco e su chi sia veramente colpevole. Il gruppo di criminalità informatica che rivendica il merito dell’attacco, Scattered LAPSUS$ Hunters, afferma di aver rubato 1,5 terabyte di dati da 5,5 milioni di utenti, incluse oltre 2,1 milioni di foto di documenti di identità governativi. E il 14 ottobre, 5CA, il servizio di assistenza clienti di terze parti che Discord sostiene sia responsabile della violazione, (nuova finestra)ha negato che(nuova finestra) gestisse documenti di identità emessi dal governo per Discord, o che il suo sistema fosse stato violato (pur ammettendo che l’incidente fosse potenzialmente derivato da un errore umano).

Quindi perché Discord ha raccolto foto di documenti di identità governativi?

Per conformarsi alla nuova legge di verifica dell’età del Regno Unito(nuova finestra) (e a quella imminente dell’Australia), Discord ha sperimentato la verifica dell’età(nuova finestra) utilizzando una scansione del viso o un documento scansionato (come passaporto o patente di guida).

Tipicamente, Discord richiedeva un selfie dell’Utente(nuova finestra) e poi utilizzava un software per scansionare la foto e stimare la sua età. Discord avrebbe poi eliminato la foto alla fine del processo. Il sistema che è stato presumibilmente violato faceva parte del suo processo di ricorso.

Se un Utente riteneva di essere stato bandito ingiustamente perché troppo giovane, poteva inviare una foto del proprio documento di identità emesso dal governo per aiutare a provare la propria età. Sono questi dati che sono stati presumibilmente rubati. E dati i 200 milioni di utenti attivi di Discord, se anche una piccola frazione di loro avesse dovuto passare attraverso il processo di appello, si tratterebbe potenzialmente di milioni di documenti.

Che una piattaforma di social media usata principalmente dai giocatori senta il bisogno di raccogliere queste informazioni mostra quanto lontano si sia già diffusa l’espansione della missione delle leggi di verifica dell’età, il cui scopo dichiarato è proteggere i bambini dalla pornografia.

Come proteggersi

Questa violazione è un altro promemoria che siamo spesso costretti a consegnare dati sensibili con poca visibilità su come vengono archiviati, protetti o condivisi. Sebbene non sia possibile richiamare dati che sono già trapelati, puoi provare a prendere il controllo dei dati che condividi in futuro. Ecco come:

  • Controlla dove sono i tuoi dati sensibili: se hai dovuto condividere i tuoi dati sensibili (come un documento di identità), leggi la loro informativa sulla privacy. Se non usi più quell’account, vedi se c’è un’opzione per eliminare i tuoi dati.
  • Usa servizi che non richiedono dati invasivi: questo sta diventando più difficile, ma i dati che non vengono mai raccolti non possono trapelare. Se hai bisogno di un servizio, cercane uno che sia trasparente(nuova finestra) su quali dati raccoglie, per quale scopo e per quanto tempo saranno archiviati.
  • Mantieni la condivisione dei dati al minimo online: anche (o, dati i molti recenti attacchi incentrati sui portali di supporto, specialmente) durante le interazioni di supporto, non condividere alcuna informazione non necessaria. Usa una VPN(nuova finestra) e alias email quando possibile.

Cosa significa questo per la verifica dell’età

La necessità di proteggere i bambini dai molti danni online(nuova finestra) è reale, quindi è comprensibile che i governi di tutto il mondo, dall’UE(nuova finestra) all’Australia(nuova finestra) al Canada(nuova finestra), siano desiderosi di seguire la legge di verifica dell’età appena applicata nel Regno Unito.

Se tali leggi siano la soluzione migliore al problema è aperto al dibattito(nuova finestra), ma ciò che è certo è che le violazioni dei dati sono diventate un evento così quotidiano che difficilmente notiamo le notizie su un’altra azienda di alto profilo che perde milioni di dettagli personali delle persone.

E non c’è mai stata alcuna ragione per supporre che i dati di verifica dell’età unicamente sensibili sarebbero stati immuni da tali perdite, un punto drammaticamente dimostrato da questo incidente.

Ciò significa che anche se approvi le leggi di verifica dell’età in linea di principio, non dovrebbero essere implementate prima che vengano sviluppate e rese ampiamente disponibili soluzioni standard aperte, decentralizzate e genuinamente sicure che rispettino veramente la tua privacy.