Due data breach hanno esposto i dati personali di numerosi utenti di Discord

Lunedì, Discord ha iniziato a notificare agli utenti interessati da una violazione dei dati avvenuta a marzo, circa tre mesi dopo aver reso pubblico l’attacco a maggio. Probabilmente non avete motivo di allarmarvi: l’attacco ha esposto i dati di circa 180 utenti. Discord, complessivamente, dichiara oltre 150 milioni di utenti attivi mensilmente.

Se sei un utente di Discord, esistono più possibilità che tu sia stato coinvolto da un data breach che ha colpito la piattaforma Discord.io, che ha interessato un numero di utenti maggiore: 760.000 persone. L’attacco è avvenuto all’inizio agosto e,  di conseguenza, il sito è stato costretto a chiudere. Discord.io, un servizio di terze parti che forniva URL di invito personalizzati per i server Discord. Non è gestito direttamente da Discord.

Il 14 agosto, Discord.io ha subito un grave attacco, reso possibile da una vulnerabilità del sito. Un attore malevolo non ancora identificato è riuscito in questo modo a rubare un’ingente quantità di informazioni personali, che ha poi venduto su un forum. Le informazioni rubate includevano la password dell’utente, assieme alle sue informazioni di fatturazione e l’ID Discord.

“Abbiamo deciso di chiudere il nostro sito fino a nuovo avviso,” ha scritto Discord.io in un post. L’azienda prevede “una completa riscrittura del codice del sito web, nonché una totale revisione delle nostre pratiche di sicurezza”.

“Discord non è affiliata con Discord.io. Non condividiamo alcuna informazione utente con Discord.io direttamente e non abbiamo accesso o controllo delle informazioni in possesso di Discord.io,” ha dichiarato un portavoce di Discord. “Siamo impegnati a proteggere la privacy e i dati dei nostri utenti e incoraggiamo i nostri utenti ad attivare l’Autenticazione a Due Fattori (2FA) per aiutare a proteggere i loro account”.