Un recente attacco informatico ha colpito un fornitore di supporto clienti usato da Discord, esponendo dati sensibili degli utenti – compresi alcuni documenti d’identità utilizzati per la verifica dell’età. Discord ha comunicato che contatterà direttamente gli utenti coinvolti.
Consigli rapidi:
- Controlla la tua e-mail per comunicazioni ufficiali Discord.
- Non fornire mai ulteriori informazioni personali a chi si spaccia per Discord fuori dai canali ufficiali.
- Aggiorna le password e attiva l’autenticazione a due fattori.
- Monitora le attività sul tuo account Discord.
Violazione Discord: cosa è successo
Nei primi giorni di ottobre 2025, Discord, una delle piattaforme di comunicazione online più popolari al mondo, ha confermato di aver subito una violazione dei dati a causa dell’attacco a uno dei suoi fornitori di servizi di assistenza clienti. I cybercriminali non hanno compromesso direttamente i server Discord ma sono riusciti ad accedere a sistemi di un partner terzo, utilizzato per gestire le richieste di supporto degli utenti.
Secondo le informazioni fornite, un “terzo non autorizzato” ha violato il fornitore esterno con l’intento di estorcere un riscatto. La vulnerabilità principale è stata proprio nel servizio di raccolta e gestione dei ticket di assistenza: attraverso questa lacuna sono state ottenute informazioni personali presenti nelle comunicazioni fra utenti e team di supporto Discord.
Quali dati sono stati esposti?
Discord ha comunicato che i tipi di dati potenzialmente a rischio includono:
- Nome e cognome degli utenti
- Nome utente Discord
- Indirizzi email e informazioni di contatto
- Tipologie di pagamento utilizzate (senza CVV o interi numeri di carta)
- Ultime quattro cifre delle carte di credito
- Storico acquisti
- Indirizzo IP
- Messaggi inviati al supporto clienti
- Limitati dati di tipo aziendale
Il dato più critico, emerso con particolare allarme tra gli utenti e le principali testate, riguarda le immagini dei documenti d’identità caricate per la verifica dell’età, ad esempio scansioni di passaporto o patente. Se il tuo documento è stato coinvolto, Discord promette di specificarlo nella comunicazione email che riceverai.
Discord ha ribadito che nessuna password, dato di autenticazione o messaggi scambiati fra i normali utenti (al di fuori delle conversazioni con il supporto clienti) sarebbero stati violati.
Cosa fa ora Discord per contenere i danni?
Immediatamente dopo aver scoperto la violazione, Discord ha revocato tutti gli accessi al suo sistema per il partner coinvolto e sta collaborando con le autorità. Ha inoltre avviato un’inchiesta interna e rafforzato le procedure di gestione degli accessi da parte dei fornitori terzi.
Tutte le persone potenzialmente coinvolte riceveranno (o hanno già ricevuto) una mail diretta da Discord con i dettagli riguardo ai dati esposti. È importante sottolineare che discord non chiederà mai informazioni sensibili tramite canali non ufficiali e ogni messaggio sospetto deve essere considerato potenzialmente malevolo.
Implicazioni della violazione: rischi futuri per gli utenti
I rischi principali derivanti da questa violazione includono:
- Tentativi di phishing: i dati sottratti possono essere usati per tentare di ingannare gli utenti, convincendoli a fornire ulteriori informazioni riservate fingendosi Discord o altre entità fidate.
- Furto di identità: documenti d’identità come passaporto o patente divenuti accessibili rappresentano un rischio concreto per una possibile usurpazione d’identità.
- Espansione di truffe e attacchi mirati: informazioni dettagliate come email, IP, storico acquisti e messaggi di supporto consentono ai malintenzionati di condurre attacchi più personalizzati e convincenti.
Perché Discord raccoglie i documenti d’identità?
Negli ultimi anni, numerose piattaforme social e comunità digitali – Discord inclusa – hanno introdotto pratiche di verifica dell’età per schierarsi contro l’accesso ai minori e migliorare la sicurezza generale. Gli utenti che vogliono accedere a servizi particolari devono pertanto fornire documenti ufficiali (passaporto o patente) tramite il supporto clienti.
La vicenda sottolinea i possibili rischi delle procedure di verifica dell’identità che si basano su gestori terzi: nonostante i dati sensibili non siano rimasti permanentemente archiviati sui server Discord, le informazioni trasmesse temporaneamente possono essere intercettate in caso di violazioni a partner non adeguatamente protetti.
Come capire se sei coinvolto?
Chiunque abbia aperto ticket di supporto tra settembre e ottobre 2025 – soprattutto chi ha effettuato pratiche di verifica dell’età – deve tenere sotto controllo la casella email e le notifiche Discord. Il rischio riguarda solo chi ha inviato dati personali al supporto, mentre la maggioranza degli utenti non risulta impattata dalla violazione.
Discord ha promesso la massima trasparenza nell’informare singolarmente ogni account coinvolto. La piattaforma, inoltre, ribadisce di non chiedere mai password o dati bancari tramite email, link esterni o chat Discord fuori dai propri canali ufficiali.
Come proteggersi dopo una violazione del genere?
Gli esperti consigliano di:
- Modificare subito la password, anche se non direttamente compromessa, ma per prassi di sicurezza.
- Abilitare l’autenticazione a due fattori (2FA), per impedire accessi non autorizzati anche se nome utente e password fossero trafugati.
- Controllare l’attività del proprio account Discord tramite il registro accessi e la cronologia delle sessioni: log di accessi sconosciuti possono indicare uso improprio.
- Stare attenti a tutti i messaggi email o su Discord che chiedono dati personali, perché potrebbero essere tentativi di phishing che fanno riferimento a questa violazione.
- Contattare subito Discord tramite i suoi canali ufficiali in caso di dubbi sulle comunicazioni ricevute o attività sospette.
Cosa succede a livello normativo e legale?
Di fronte a violazioni che coinvolgono dati sensibili, Discord si troverà probabilmente a dover notificare le autorità garanti per la privacy sia negli Stati Uniti sia nello Spazio Economico Europeo, rispettando il GDPR. Gli utenti europei godono di tutele rafforzate rispetto alla notifica e alle procedure di risarcimento danni subiti in caso di furto dei dati.
Sono possibili anche indagini e sanzioni da parte delle autorità in materia di privacy e tutela dei dati personali, specie se la gestione del partner terzo si rivelerà inadeguata.
Consigli e azioni approfondite:
- Se hai fornito ID o documenti, valuta di segnalarlo alle autorità locali e monitora eventuali tentativi di utilizzo fraudolento della tua identità.
- Applica la regola di non riutilizzare mai le stesse password su più servizi: un compromesso in un account può propagarsi rapidamente ad altri.
- Scarica regolarmente una copia dei tuoi dati personali dalle piattaforme che usi per tenere traccia delle informazioni condivise.
- Valuta l’uso di servizi di monitoraggio dell’identità per essere avvisato in caso di uso improprio dei tuoi documenti online.
- Consulta periodicamente le policy sulla privacy delle piattaforme che utilizzi: la sicurezza delle tue informazioni dipende anche dalla scelta dei partner di cui si servono.
Restare informati e agire tempestivamente è la chiave per limitare i danni di una violazione che coinvolge dati tanto sensibili. Maggiore consapevolezza corrisponde a maggiore difesa contro cyberattacchi simili.
