Platforma komunikacyjna Discord znalazła się pod ostrzałem po tym, jak wykryto, że jej oprogramowanie do weryfikacji tożsamości Persona Identities zawiera kod interfejsu dostępny w otwartym Internecie i na serwerach rządowych.
Badacze zauważyli, że w punkcie końcowym objętym sankcjami przez rząd USA udostępniono prawie 2500 plików
Oprócz weryfikacji wieku użytkownika badacze odkryli, że Persona przeprowadza 269 różnych kontroli weryfikacyjnych, w tym wykrywa „niekorzystne media” w 14 różnych kategoriach, takich jak terroryzm i szpiegostwo. Następnie przypisuje ocenę ryzyka i podobieństwa do informacji użytkownika.
A informacja była ogólnodostępna. „Nie musieliśmy nawet pisać ani wykonywać żadnego exploita, cała architektura była tuż za rogiem” – napisali badacze na swoim blogu, dodając, że znaleźli 53 megabajty danych w terminalu rządowym Federalnego Programu Zarządzania Ryzykiem i Autoryzacją (FedRAMP), który również „oznaczał raporty kryptonimami aktywnych programów wywiadowczych”.
Od tego czasu Discord ogłosił, że zerwie współpracę z Personą. Oprogramowanie sztucznej inteligencji, częściowo sfinansowane przez firmę venture Founders Fund, współzałożyciela Palantir, Petera Thiela, w dalszym ciągu świadczy usługi weryfikacji wieku dla OpenAI, Lime i Roblox.
Zarówno Persona, jak i Discord potwierdziły Fortune, że ich partnerstwo trwało krócej niż miesiąc i od tego czasu zostało rozwiązane. Według Discorda w tym teście wzięła udział tylko niewielka liczba użytkowników, w ramach którego wszelkie przesłane informacje mogły być przechowywane przez maksymalnie siedem dni, zanim zostały usunięte.
Błędy w łatkach bezpieczeństwa Discord
To nie pierwszy raz, kiedy zewnętrzny dostawca jest przedmiotem analizy pod kątem niewłaściwego obchodzenia się z wrażliwymi informacjami użytkownika w serwisie Discord, który jest popularny wśród graczy, studentów, wpływowych osób, specjalistów ds. technologii i innych społeczności.
W zeszłym roku hakerzy uzyskali dostęp do rządowych dokumentów tożsamości ponad 70 000 osób, które spełniły wymogi weryfikacji wieku.
W oświadczeniu z 9 października 2025 r. firma stwierdziła, że atak „nie stanowił naruszenia Discord, ale raczej naruszenie zasad zewnętrznego dostawcy usług, 5CA”. Discord stwierdził, że naruszenie dotknęło tylko użytkowników, którzy skontaktowali się z obsługą klienta firmy lub zespołami ds. zaufania i bezpieczeństwa.
Na początku tego miesiąca Discord spotkał się z niemal natychmiastową reakcją po ogłoszeniu, że wszystkie konta będą domyślnie ustawione na ustawienia bezpieczeństwa dla nastolatków. Użytkownicy chcący uzyskać dostęp do dodatkowych funkcji będą musieli zweryfikować swój wiek za pomocą Persony.
„Wdrożenie domyślnych ustawień dla nastolatków na całym świecie opiera się na istniejącej architekturze bezpieczeństwa Discord” – stwierdziła w oświadczeniu szefowa polityki produktowej Discord, Savannah Badalich. Firma „będzie nadal współpracować z ekspertami ds. bezpieczeństwa, decydentami i użytkownikami Discorda, aby wspierać znaczący, długoterminowy dobrostan”.
Jednak po tym, jak użytkownicy szybko zwrócili uwagę na październikowy hack danych, Discord następnego dnia zmienił oświadczenie, aby wyjaśnić, że weryfikacja wieku pozostanie opcjonalna, chyba że użytkownicy będą chcieli uzyskać dostęp do serwerów i kanałów z ograniczeniami wiekowymi.
Discord powiedział, że może określić wiek większości użytkowników na podstawie „informacji, które już posiadamy”. Większość użytkowników nie musiałaby nosić przy sobie dokumentów tożsamości i zamiast tego mogłaby zdecydować się na selfie wideo.
„Oferujemy wiele opcji prywatności za pośrednictwem zaufanych partnerów” – stwierdzono w dodatku, dodając, że „skany twarzy nigdy nie opuszczają Twojego urządzenia. Discord ani nasi partnerzy-dostawcy nigdy ich nie otrzymują”.
Wszelkie dokumenty identyfikacyjne przesłane do Discord zostaną przesłane do zewnętrznych dostawców platformy i szybko usunięte. „W większości przypadków natychmiast po potwierdzeniu wieku” – czytamy w oświadczeniu.
„Dowody tożsamości służą wyłącznie do ustalenia Twojego wieku, a następnie są usuwane” – kontynuował. „Discord otrzymuje tylko Twój wiek, to wszystko. Twoja tożsamość nigdy nie jest powiązana z Twoim kontem.”
Jednak usunięta od tego czasu wersja najczęściej zadawanych pytań Discorda na temat zasad weryfikacji wieku wydaje się zaprzeczać twierdzeniom firmy dotyczącym tego, jak długo zewnętrzny dostawca, w tym przypadku Persona, przechowuje identyfikatory rządowe.
„Ważne: jeśli przebywasz w Wielkiej Brytanii, możesz wziąć udział w eksperymencie, w ramach którego Twoje dane będą przetwarzane przez firmę Persona zajmującą się sprawdzaniem wieku” – czytamy w zarchiwizowanej wersji witryny. „Przesłane informacje będą tymczasowo przechowywane przez okres do 7 dni, a następnie usunięte. W przypadku weryfikacji tożsamości wszystkie dane są zamazane, z wyjątkiem zdjęcia i daty urodzenia, więc wykorzystywane są tylko te informacje, które są faktycznie potrzebne do sprawdzenia wieku.”
Osoba staje się osobista
Dyrektor generalny i współzałożyciel Persony, Rick Song, powiedział Fortune, że pliki nie stanowią luki w zabezpieczeniach, ale raczej publicznie dostępne informacje z interfejsu użytkownika. „Znaleziono nieskompresowane pliki interfejsu, który znajduje się już na urządzeniu każdej osoby” – powiedział, dodając, że informacje są dostępne w firmowym centrum pomocy i dokumentacji API. „Nie sądzę, aby posiadanie nieskompresowanych plików w Internecie było dobrym rozwiązaniem” – kontynuował Song, ale dodał, że informacje znalezione przez badacza to nieskompresowana wersja skompresowanej mapy źródłowej dostępnej online firmy.
„Myślę, że jest to jeden z tych przypadków, w których treść wydaje się bardziej przerażająca, ale… wewnętrznie nie uważamy tego za nawet poważną lukę”.
Song nadal uważa partnerstwo Persony i Discorda za sukces. „Myślę, że działanie produktu było niewiarygodnie dobre” – powiedział dyrektor generalny Fortune. „Mogliśmy stwierdzić, że wszystkie dane zostały natychmiast zredagowane, ponieważ dane zostały zredagowane; zostały zredagowane już w trakcie przetwarzania. To nie jest tak, że usunęliśmy dane w związku z rozwiązaniem umowy. Dane są usuwane natychmiast po weryfikacji osoby.”
Song zaprzeczył jakimkolwiek powiązaniom z Palantirem, ICE lub rządem, ale powiedział, że firma przechodzi procedurę zatwierdzania przez FedRAMP. „Próbujemy uzyskać FedRAMP, a naszym celem jest wykonanie dużej pracy na rzecz bezpieczeństwa pracowników”, w ramach którego wykorzystuje się zupełnie inny zestaw informacji w celu potwierdzenia, że pracownik jest tym, za kogo się podaje, w porównaniu z użytkownikiem platformy mediów społecznościowych weryfikującym jego wiek.
Song powiedział, że w odpowiedzi na 269 rodzajów kontroli weryfikacyjnych są to wszystkie opcje, jakie oferuje Persona, ale to niekoniecznie oznacza, że klient potrzebuje ich wszystkich. Zasadniczo potrzeby platformy mediów społecznościowych służącej do weryfikacji wieku nie byłyby takie same, jak potrzeby pracodawcy przeprowadzającego weryfikację przeszłości.
Song został również zaatakowany za brak danych osobowych w Internecie. Użytkownik X opublikował zrzut ekranu profilu dyrektora generalnego na LinkedIn, przedstawiający Songa ze zweryfikowaną plakietką, ale bez zdjęcia profilowego. Persona obsługuje prośby o weryfikację tożsamości LinkedIn.
W odpowiedzi Song napisał: „Jestem zweryfikowany. O to właśnie chodzi. To dystopijne, że chcemy, aby ludzie przeciwstawiali się wszystkim, aby być prawdziwymi w Internecie. To ironia losu, że ludzie, którzy publikują posty na temat prywatności, chcą, żebym przeciwstawił się wszystkim”.
