Nei giorni scorsi vi abbiamo parlato di una fuga di dati legata a Discord: malintenzionati avrebbero violato un servizio di terze parti usato dall'azienda, rubando i dati degli utenti. La situazione sembra però più grave del previsto: Discord ha respinto fermamente le richieste di riscatto avanzate dai cybercriminali, che sostengono di aver sottratto informazioni sensibili di 5,5 milioni di utenti, inclusi documenti di identità e dettagli di pagamento parziali.
Le rivendicazioni degli hacker contro la versione ufficiale
Gli autori dell'attacco affermano di aver compromesso i dati attraverso il sistema di supporto clienti basato su Zendesk. Secondo le loro dichiarazioni, l'accesso non autorizzato sarebbe durato 58 ore consecutive a partire dal 20 settembre 2025, permettendo il furto di circa 1,6 terabyte di informazioni. I criminali sostengono inoltre di aver ottenuto 2,1 milioni di foto di documenti d'identità governativi.
Discord ha però smentito categoricamente questi numeri, definendoli parte di un tentativo di estorsione. L'azienda ha precisato che soltanto 70.000 utenti circa potrebbero aver subito l'esposizione delle proprie foto di documenti d'identità, utilizzate dal fornitore esterno per verificare le richieste di appello relative all'età degli account.
Il punto di accesso: un sistema di supporto compromesso
La dinamica dell'attacco rivela le vulnerabilità tipiche dell'outsourcing dei servizi IT. Gli hacker non hanno sfruttato una falla di Zendesk stesso, ma hanno compromesso l'account di un agente di supporto impiegato attraverso un fornitore di servizi BPO (Business Process Outsourcing) utilizzato da Discord. Questa modalità di accesso evidenzia come le aziende che esternalizzano help desk e supporto tecnico siano diventate bersagli privilegiati per i cybercriminali.
Attraverso il sistema interno Zendesk di Discord, gli attaccanti affermano di aver avuto accesso a un'applicazione chiamata Zenbar. Questo strumento avrebbe consentito loro di eseguire operazioni di supporto sensibili, come disabilitare l'autenticazione a più fattori degli utenti e consultare numeri di telefono e indirizzi email.
I dati trafugati e le integrazioni di sistema
Il bottino rivendicato dai cybercriminali include circa 8,4 milioni di ticket di supporto che riguardano 5,5 milioni di utenti distinti. Di questi, circa 580.000 utenti avrebbero visto coinvolte alcune informazioni di pagamento. Le tipologie di dati compromessi spaziano dagli indirizzi email ai nomi utente Discord, dai numeri di telefono alle informazioni parziali sui pagamenti, fino alle date di nascita e ai dettagli sull'autenticazione a più fattori.
Un aspetto particolarmente preoccupante riguarda le integrazioni tra Zendesk e i sistemi interni di Discord. Secondo gli attaccanti, queste connessioni avrebbero permesso di effettuare milioni di query API al database interno dell'azienda, amplificando notevolmente la quantità di informazioni accessibili rispetto a quelle normalmente disponibili attraverso il solo sistema di supporto.
Negoziazioni fallite e minacce di pubblicazione
La fase di estorsione ha seguito il copione tipico di questi attacchi informatici. I cybercriminali hanno inizialmente richiesto un riscatto di 5 milioni di dollari, successivamente ridotto a 3,5 milioni durante le negoziazioni private condotte tra il 25 settembre e il 2 ottobre. Discord ha però interrotto ogni comunicazione e ha pubblicato una dichiarazione ufficiale sull'incidente.
La risposta dell'azienda ha scatenato la rabbia degli attaccanti, che ora minacciano di pubblicare tutti i dati se non riceveranno il pagamento richiesto. Discord ha mantenuto una posizione ferma, ribadendo che non intende "premiare i responsabili per le loro azioni illegali" e contestando sia l'entità della violazione che i numeri forniti dai criminali.
Rimangono aperte diverse questioni controverse, tra cui il motivo per cui Discord conservi documenti d'identità governativi dopo aver completato le verifiche dell'età degli utenti. L'azienda non ha fornito chiarimenti aggiuntivi su questo aspetto, limitandosi a ribadire che l'incidente ha coinvolto un servizio terzo utilizzato per il supporto clienti e non i propri sistemi diretti.
