Iamprovider

La violazione del sistema di verifica dell'età potrebbe aver esposto le foto dei documenti di 70.000 utenti di Discord

La violazione del sistema di verifica dell'età potrebbe aver esposto le foto dei documenti di 70.000 utenti di Discord

Dettagli della violazione: cosa è successo e quando

Il 3 ottobre 2025, Discord ha rivelato che un'entità non autorizzata ha avuto accesso a uno dei suoi fornitori di servizi clienti di terze parti, 5CA. La violazione, iniziata intorno al 20 settembre, ha compromesso l'account di un agente di supporto, dando agli hacker accesso ai dati degli utenti di Discord per circa 58 ore. Gli aggressori avrebbero rubato almeno 70.000 immagini di documenti di identità rilasciati dal governo, come passaporti o patenti di guida, inviate dagli utenti per la verifica dell'età. Il perpetratore starebbe anche tentando di estorcere un riscatto all'azienda colpita.

Quali dati sono stati esposti?

Oltre alle foto dei documenti, la violazione potrebbe aver esposto nomi, indirizzi email, informazioni di contatto, indirizzi IP e interazioni con il supporto clienti di Discord. Fortunatamente, le informazioni complete delle carte di credito o le password non sono state compromesse. Tuttavia, la portata rimane contestata: il gruppo di cybercriminali che si è assunto la responsabilità, Scattered LAPSUS$ Hunters, afferma di aver rubato 1,5 terabyte di dati da 5,5 milioni di utenti, incluse oltre 2,1 milioni di foto di documenti. Discord, invece, sostiene che la cifra sia più vicina a 70.000 utenti colpiti a livello globale.

Come funziona la verifica dell'età su Discord

Metodo con foto del documento per gli appelli

Discord richiede la verifica dell'età quando un utente viene bloccato perché minorenne o quando accede a server con restrizioni di età. Gli utenti possono inviare una foto di sé stessi mentre tengono in mano un documento di identità rilasciato dal governo (che mostra la data di nascita) e un foglio con il proprio nome utente Discord. Questa singola foto viene inviata al team Trust & Safety di Discord tramite un modulo di supporto. Le informazioni fornite vengono utilizzate esclusivamente per la verifica dell'età e per nessun altro scopo.

Controllo automatico dell'età tramite k-ID

In alcune regioni, Discord collabora con k-ID per un controllo automatico dell'età. Gli utenti scattano un video selfie, che viene elaborato sul loro dispositivo e immediatamente cancellato dopo la stima dell'età. Discord afferma che né loro né k-ID conservano le scansioni facciali. Se il controllo automatico fallisce, gli utenti devono ricorrere al metodo con foto del documento.

Perché è avvenuta questa violazione: problemi di conservazione dei dati

Secondo le fonti, la violazione è avvenuta perché Discord non ha eliminato tempestivamente le foto dei documenti degli utenti dopo la verifica. A differenza del sistema di k-ID, che elabora i selfie sul dispositivo e li cancella immediatamente, il sistema di supporto di Discord conservava le immagini dei documenti per mesi. Questa finestra di conservazione ha permesso agli hacker di accedere ed esfiltrare i dati. L'hacker avrebbe avuto accesso al portale di supporto di Discord, non al sistema k-ID, evidenziando una vulnerabilità critica nelle pratiche di gestione dei dati.

Implicazioni per la privacy degli utenti e la verifica futura

Questo incidente sottolinea i rischi inerenti all'archiviazione centralizzata di dati biometrici sensibili. Mentre Discord espande la verifica dell'età a livello globale, spinta da normative come la legge sulla verifica dell'età del Regno Unito, la violazione funge da monito. Mentre i controlli automatici dell'età che utilizzano l'elaborazione sul dispositivo riducono il rischio, il metodo di appello con foto del documento rimane vulnerabile. Gli utenti devono fidarsi che i loro dati vengano cancellati tempestivamente, una fiducia che è stata tradita. In futuro, Discord e altre piattaforme devono adottare politiche più rigorose di minimizzazione e conservazione dei dati per prevenire esposizioni simili.

Cosa dovrebbero fare ora gli utenti di Discord

Discord sta contattando gli utenti colpiti via email da noreply@discord.com. Se ricevi tale email, verifica la sua autenticità e segui le istruzioni. Evita di inviare ticket duplicati o condividere la foto del tuo documento al di fuori dei canali ufficiali. Per coloro che sono preoccupati per future violazioni, considera l'utilizzo di documenti di identità usa e getta o con finalità limitata e monitora i tuoi account per attività sospette. L'incidente evidenzia la necessità di una legislazione più forte sulla conservazione dei dati e sulla sicurezza dei fornitori terzi.