Una recente violazione della sicurezza di Discord, la piattaforma di comunicazione ampiamente utilizzata, ha compromesso i dati personali di circa 70.000 utenti. Le informazioni rubate includono foto di identificazione sensibili rilasciate dal governo, che sono state inviate come parte dei controlli di verifica dell’età. Questo incidente evidenzia i crescenti rischi associati ai processi di verifica dell’identità online e le vulnerabilità dei fornitori di servizi di terze parti.
Come si è verificata la violazione
Il compromesso derivava da un fornitore di assistenza clienti di terze parti che aveva accesso ai dati degli utenti per ricorsi relativi all’età. Discord richiede che gli utenti abbiano almeno 13 anni (con limiti di età più severi per determinati contenuti) e utilizza la verifica dell’identità per far rispettare queste regole. Gli hacker hanno preso di mira questo fornitore, estraendo una quantità significativa di informazioni personali con l’intento di estorsione.
Discord afferma che gli aggressori hanno rubato circa 70.000 foto identificative, ma il gruppo di sicurezza informatica VX-Underground riferisce che l’effettiva esfiltrazione potrebbe essere molto più grande: oltre 1,5 terabyte di dati, incluse oltre 2,1 milioni di immagini. Discord contesta queste cifre, definendole parte di un tentativo di estorsione. Indipendentemente dal numero preciso, la violazione è sostanziale.
Cosa è stato rubato?
Oltre alle foto identificative, i dati compromessi includevano nomi, nomi utente, indirizzi e-mail e dettagli di contatto forniti all’assistenza clienti. Sono state prese anche informazioni di fatturazione limitate, ovvero le ultime quattro cifre dei numeri di carta di credito, ma non i dettagli completi della carta e i codici di sicurezza. Fondamentalmente, le password e i dati di autenticazione sono rimasti al sicuro.
È probabile che questo tipo di furto diventi più frequente poiché sempre più piattaforme implementano rigide leggi sulla verifica dell’età, richiedendo agli utenti di inviare documenti sensibili. Una volta archiviati nei database, questi ID diventano bersagli attraenti per gli hacker.
Risposta di Discord e impatto sugli utenti
Discord ha revocato l’accesso del fornitore di terze parti e afferma di collaborare con le forze dell’ordine. La società sta contattando gli utenti interessati tramite noreply@discord.com e mette in guardia contro telefonate non richieste. Tuttavia, alcuni utenti segnalano che le loro richieste di verifica dell’età sono state ignorate per settimane, solo per essere poi informati della violazione.
“Discord ha ignorato il mio ticket di verifica dell’identità per 2 settimane solo per dirmi che lo stesso ticket era coinvolto in una violazione dei dati”, ha scritto un utente Reddit.
L’incidente sottolinea il compromesso tra sicurezza della piattaforma e sicurezza dei dati. Gli utenti che hanno inviato documenti d’identità potrebbero ora affrontare maggiori rischi di furto di identità o frode.
Cosa dovrebbero fare gli utenti
Al momento, gli utenti possono solo monitorare i propri account per attività sospette e abilitare l’autenticazione a due fattori se non è già attiva. La violazione sottolinea la necessità di migliori pratiche di sicurezza tra i fornitori di terze parti e di misure di protezione dei dati più forti da parte di piattaforme come Discord.
Questo incidente serve a ricordare duramente che anche le piattaforme apparentemente sicure sono suscettibili di violazioni, soprattutto se dipendono da servizi esterni. Il futuro della verifica dell’età online richiederà un approccio più solido per proteggere i dati degli utenti dallo sfruttamento.
