O Discord foi forçado a responder a um incidente ocorrido no início de abril, durante o qual uma rede de bots espionou massivamente os usuários, arquivando suas mensagens. Os dados recolhidos foram posteriormente colocados à venda.
Os bots conseguiram interceptar mais de 4 bilhões de mensagens públicas, incluindo dados de voz, de 620 milhões de usuários nos maiores servidores Discord, incluindo aqueles dedicados a jogos como Minecraft e Among Us. Os dados foram então colocados à venda no agora fechado site Spy.pet por £ 4 (US$ 5) – o recurso os vendia para treinar modelos de inteligência artificial ou para “agentes federais em busca de uma nova fonte de informação”. Discord disse que as contas responsáveis pelo incidente foram suspensas e ações legais estão sendo exploradas.
«Nossa equipe de segurança investigou minuciosamente essas atividades e identificamos algumas contas que acreditamos estarem associadas ao Spy.pet, que posteriormente suspendemos. De acordo com nossa investigação, as contas estavam logadas em servidores Discord abertos e acessíveis a qualquer pessoa, ou com acesso fácil por meio de um link de convite válido. Uma vez nesses servidores, essas contas só poderiam acessar as mesmas informações que qualquer outro usuário desses servidores”, disse um representante do Discord à 404 Media.
Não há motivos para suspeitar que a correspondência pessoal dos usuários do Discord ou outros dados pessoais além daqueles que o próprio usuário compartilhou em seu perfil tenham sido roubados. Mas há razões para acreditar que o proprietário do Spy.pet é um usuário do fórum Kiwi Farms, cujos membros se envolvem em assédio a figuras e comunidades online.