Discord atkāpjas no identitātes verifikācijas palaišanas Persona pēc tam, kad pētnieki atzīmēja publiski pieejamu kodu, kas saistīts ar valdības sistēmām, radot jaunas bažas par privātumu par tērzēšanas platformas drošības pasākumiem.
Strīdi sākās, kad pētnieki atklāja, ka Persona priekšgala faili ir atklāti atklātā internetā un atrodas ASV valdības apstiprinātā galapunktā. Ziņojumos par X pētnieki apgalvoja, ka gandrīz 2500 faili bija pieejami bez jebkādas izmantošanas. Viņu pārskats liecināja, ka Persona sistēma var veikt sejas atpazīšanas pārbaudes, salīdzinot novērošanas sarakstus, un pārbaudīt lietotājus, salīdzinot ar politiski atklātu personu datubāzēm.
“Tika atrasti gandrīz 2500 pieejami faili ASV valdības apstiprinātā galapunktā, pētnieki norādīja uz X. Faili liecināja, ka Persona veica sejas atpazīšanas pārbaudes, salīdzinot uzraugāmo personu sarakstus, un pārbaudīja lietotājus, salīdzinot ar politiski pakļauto personu sarakstiem,” ziņoja Fortune.
No vecuma pārbaudēm līdz skatīšanās sarakstiem: kāpēc nesaskaņas atteicās no personas
Rezultāti radās neērtā brīdī uzņēmumam Discord, kas visā savā platformā ir pastiprinājis vecuma pārbaudes noteikumus. Dažu dienu laikā pēc ziņojumu izplatīšanas Discord apstiprināja, ka ir izbeigusi testa partnerību. Abi uzņēmumi Fortune pastāstīja, ka sadarbība ilga mazāk nekā mēnesi un iesaistīja tikai ierobežotu lietotāju grupu.
Saskaņā ar pētnieku analīzi Persona instrumenti pārsniedz pamata vecuma pārbaudes. Viņi teica, ka sistēma var veikt 269 dažādas verifikācijas pārbaudes, tostarp skenēt “nelabvēlīgus plašsaziņas līdzekļus” 14 kategorijās, kas saistītas ar tādiem jautājumiem kā terorisms un spiegošana. Pēc tam programmatūra ģenerē riska un līdzības rādītājus, kas saistīti ar lietotāja datiem.
Uzacis raisīja ne tikai pārbaužu apjoms, bet arī koda pieejamība. “Mums pat nevajadzēja rakstīt vai veikt vienu ekspluatāciju; visa arhitektūra bija tikai uz sliekšņa,” savā emuārā rakstīja pētnieki. Viņi teica, ka ir atraduši 53 megabaitus datu Federālās riska un autorizācijas pārvaldības programmas (FedRAMP) galapunktā, kas “atzīmē ziņojumus ar koda nosaukumiem no aktīvajām izlūkošanas programmām”.
Personas izpilddirektors un līdzdibinātājs Riks Songs atteica trauksmi. Viņš pastāstīja Fortune, ka materiāls ir publiski pieejama priekšgala informācija, nevis drošības trūkums. “Tika atrasti nesaspiesti priekšgala faili, kas jau atrodas katras personas ierīcē,” sacīja Songs, piebilstot, ka līdzīga informācija ir atrodama uzņēmuma palīdzības centrā un API dokumentācijā. “Es nedomāju, ka nesaspiesti faili tiešsaistē ir labi,” viņš teica, lai gan apgalvoja, ka situācija ir pārspīlēta un iekšēji netiek uzskatīta par nopietnu ievainojamību.
Discord teica, ka izmēģinājumā piedalījās tikai neliels skaits lietotāju. Uzņēmums piebilda, ka jebkura iesniegtā informācija var tikt saglabāta līdz septiņām dienām pirms dzēšanas.
Epizode papildina pieaugošo Discord privātuma galvassāpju sarakstu. Platforma, ko plaši izmanto spēlētāji, studenti, veidotāji un tehnoloģiju kopienas, arvien vairāk ir paļāvusies uz trešo pušu pārdevējiem, lai atbalstītu tās uzticības un drošības ceļvedi.
Nesaskaņas pārtrauc Personas vecuma pārbaudes testu pēc pētnieku karoga uzraudzības saraksta pārbaudēm
Pagājušajā gadā hakeri piekļuva valsts ID, kas pieder vairāk nekā 70 000 lietotāju, kuri bija pabeiguši vecuma pārbaudi. Discord teica, ka tajā laikā incidents radās pārdevēja 5CA pārkāpuma dēļ, nevis tā sistēmas dēļ. Uzņēmums paziņoja, ka tika ietekmēti tikai tie lietotāji, kuri sazinājās ar klientu atbalstu vai Uzticamību un drošību.
“Uzņēmumā Discord mūsu lietotāju privātuma un drošības aizsardzība ir galvenā prioritāte. Tāpēc mums ir svarīgi, lai mēs ar viņiem būtu pārredzami par notikumiem, kas ietekmē viņu personisko informāciju,” teikts uzņēmuma 2025. gada 9. oktobra paziņojumā. Ietekmētie lietotāji tika informēti, ja tika atklāti valsts iestāžu ID, IP adreses vai ierobežoti norēķinu dati.
Spriedze atkal uzliesmoja šā mēneša sākumā, kad Discord paziņoja par plāniem noklusējuma kontus iekļaut pusaudžu drošības iestatījumos. Lietotājiem, kuri vēlas piekļūt noteiktām funkcijām, ir jāpārbauda savs vecums, izmantojot Personu. Šī kustība izraisīja tūlītēju atgrūšanos no sabiedrības daļām, kuras jau bija piesardzīgas pēc iepriekšējā datu incidenta.
“Pēc pusaudžu vecuma iestatījumu ieviešana visā pasaulē balstās uz Discord esošo drošības arhitektūru,” toreiz sacīja Discord produktu politikas vadītāja Savanna Badaliha, piebilstot, ka uzņēmums turpinās sadarboties ar drošības ekspertiem, politikas veidotājiem un lietotāju bāzi ilgtermiņa labklājības centienos.
Vienas dienas laikā pēc atbildes reakcijas Discord atjaunināja savu ziņojumapmaiņu. Uzņēmums paskaidroja, ka vecuma pārbaude paliks neobligāta, izņemot lietotājus, kuri mēģina iekļūt vecuma ierobežotās vietās. Tajā teikts, ka lielāko daļu lietotāju vecumu var noteikt, izmantojot esošos konta signālus, tādējādi daudziem ļaujot izvairīties no valsts identifikācijas dokumentu augšupielādes. Tā vietā lietotāji var izvēlēties video pašbildes verifikāciju.
“Mēs piedāvājam vairākas privātuma pārsūtīšanas iespējas, izmantojot uzticamus partnerus,” sacīja uzņēmums, piebilstot, ka “sejas skenēšana nekad neatstāj jūsu ierīci. Discord un mūsu pārdevēju partneri to nekad nesaņem.”
Discord apgalvo, ka visi identificējošie dokumenti tiek nosūtīti trešo pušu piegādātājiem un ātri izdzēsti. “Vairumā gadījumu uzreiz pēc vecuma apstiprināšanas,” sacīja uzņēmums. “ID tiek izmantoti tikai jūsu vecuma noteikšanai un pēc tam tiek dzēsti. Discord saņem tikai jūsu vecumu — tas ir viss. Jūsu identitāte nekad netiek saistīta ar jūsu kontu.”
Šķiet, ka Discord FAQ arhivētā versija sniedz niansētāku attēlu. Lapā teikts, ka Apvienotās Karalistes lietotājiem noteiktos eksperimentos Persona varēja apstrādāt informāciju un uz laiku uzglabāt to līdz septiņām dienām pirms dzēšanas.
Persona, kuras klientu vidū ir OpenAI, Lime un Roblox, ir strādājusi, izmantojot FedRAMP autorizāciju, jo tā padziļina darbaspēka identitātes un atbilstības produktus. Song uzsvēra, ka garais verifikācijas pārbaužu saraksts atspoguļo izvēles iespējas, nevis funkcijas, ko izvieto katrs klients.
Nedēļas nogalē Song ievietoja X, noliedzot jebkādas attiecības starp Persona un Palantir, ICE vai valdības uzraudzības programmām. Viņš sacīja, ka internetā izplatītās spekulācijas izraisījušas draudus uzņēmuma darbiniekiem. “Mums nav nekādu attiecību ar ICE, Palantir,” viņš rakstīja ekrānuzņēmumā no e-pasta apmaiņas ar pētnieku.
Song piebilda, ka dusmas ir izplūdušas uz darbiniekiem, kuri nesen pievienojās uzņēmumam. “Es nedomāju, ka šie cilvēki ir tie, pret kuriem būtu jāvērš sabiedrības dusmas, un, ja kāds, tad tas būtu jāvērš pret mani.”
Izpilddirektors saskārās ar savu kritiku pēc tam, kad lietotāji norādīja, ka viņa LinkedIn profilā ir redzama verifikācijas emblēma bez profila fotoattēla — šī detaļa pievērsa uzmanību, ņemot vērā, ka Persona apstrādā LinkedIn identitātes verifikāciju. Song atbildēja tieši X: “Es esmu pārbaudīts. Tas ir viss. Tas ir distopiski, ka mēs vēlamies, lai cilvēki saskaras ar ikvienu, lai tie būtu patiesi tiešsaistē. Ironiski, ka cilvēki, kas publicē ziņas par privātumu, vēlas, lai es saskaros ar ikvienu.”
Discord īslaicīgais Persona eksperiments parāda, cik jutīga ir kļuvusi vecuma pārbaude. Platformas saskaras ar pieaugošu spiedienu, lai pierādītu, ka lietotāji ir tādi, par kādiem viņi apgalvo. Katrs jauns aizsardzības līdzeklis tagad tiek pārbaudīts, it īpaši, ja tiek iekļauta sejas atpazīšana un valdības blakus esošās sistēmas.
