دييسكورد يقطع علاقته مع برنامج التحقق المدعوم من بيتر ثيل بعد اكتشاف أن رمزه مرتبط بجهود المراقبة الأمريكية

منصة التواصل Discord تتعرض لانتقادات بعد اكتشاف أن برنامج التحقق من الهوية، Persona Identities، كان يحتوي على رمز الواجهة الأمامية accessible على الإنترنت المفتوح وعلى خوادم حكومية.

مقاطع الفيديو الموصى بها

تم العثور على ما يقرب من 2500 ملف قابل للوصول على نقطة نهاية مخولة من قبل الحكومة الأمريكية، أشار الباحثون على X. أظهرت الملفات أن Persona أجرت فحوصات التعرف على الوجه ضد قوائم المراقبة وفحصت المستخدمين مقابل قوائم الأشخاص المعرضين سياسيًا.

بالإضافة إلى التحقق من عمر المستخدم، وجد الباحثون أن Persona تؤدي 269 فحص تحقق مختلف، بما في ذلك فحص وسائل الإعلام السلبية عبر 14 فئة مختلفة مثل الإرهاب والجاسوسية. ثم تقوم بتعيين درجات المخاطر والتشابه لمعلومات المستخدم.

وكانت المعلومات متاحة بشكل علني. قال الباحثون في مدونتهم: “لم نضطر حتى لكتابة أو تنفيذ استغلال واحد، فكل البنية التحتية كانت على عتبة الباب”، مضيفين أنهم وجدوا 53 ميجابايت من البيانات على نقطة نهاية حكومية ضمن برنامج إدارة المخاطر والتصريح الفيدرالي (FedRAMP) والتي “توسم التقارير بأسماء رمزية من برامج استخبارات نشطة”.

ومنذ ذلك الحين، أعلنت Discord أنها قطعت علاقاتها مع Persona. لا تزال برمجية الذكاء الاصطناعي، التي تمولها جزئيًا شركة Founders Fund، التي أسسها Peter Thiel، تقدم خدمات التحقق من العمر لـ OpenAI و Lime و Roblox.

أكد كل من Persona و Discord لـ Fortune أن شراكتهما استمرت أقل من شهر وت dissolved منذ ذلك الحين. ووفقًا لـ Discord، كان عدد قليل فقط من المستخدمين جزءًا من هذا الاختبار، حيث يمكن تخزين أي معلومات يتم تقديمها لمدة تصل إلى سبعة أيام قبل حذفها.

أخطاء في إعادة هيكلة أمان Discord

هذه ليست المرة الأولى التي تتعرض فيها جهة خارجية للتدقيق بسبب سوء التعامل مع معلومات حساسة للمستخدمين على Discord، الذي يحظى بشعبية بين اللاعبين والطلاب والمؤثرين والمهنيين التقنيين ومجتمعات أخرى.

في العام الماضي، تمكن قراصنة من الوصول إلى هويات حكومية لأكثر من 70,000 شخص امتثلوا لمتطلبات التحقق من العمر.

وفي بيان صدر في 9 أكتوبر 2025، قالت الشركة إن الهجوم لم يكن اختراقًا لـ Discord، بل كان اختراقًا لمزود خدمة طرف ثالث، وهو 5CA. وأوضحت أن الاختراق أثر فقط على المستخدمين الذين تواصلوا مع فريق دعم العملاء أو فرق الثقة والأمان في الشركة.

قالت Discord: “في Discord، حماية خصوصية وأمان مستخدمينا هو أولوية قصوى. لهذا السبب من المهم بالنسبة لنا أن نكون شفافين معهم بشأن الأحداث التي تؤثر على معلوماتهم الشخصية”، مضيفة أن المستخدمين المتأثرين تلقوا بريدًا إلكترونيًا إذا تم تسريب هوياتهم الحكومية أو عناوين IP أو بيانات الفوترة والشركات المحدودة.

وفي وقت سابق من هذا الشهر، واجهت Discord رد فعل سريع تقريبًا بعد إعلانها أنها ستجعل جميع الحسابات افتراضيًا موجهة لإعدادات أمان المراهقين. وكان يتعين على المستخدمين الذين يرغبون في الوصول إلى ميزات إضافية التحقق من عمرهم باستخدام Persona.

قالت سافانا باداليش، رئيسة سياسة المنتج في Discord، في البيان: “إطلاق إعدادات المراهقين بشكل افتراضي على مستوى العالم يعزز بنية الأمان الحالية لـ Discord”. وأضافت أن الشركة “ستواصل العمل مع خبراء الأمان وصانعي السياسات ومستخدمي Discord لدعم رفاهية ذات معنى وطويلة الأمد”.

لكن بعد أن أشار المستخدمون بسرعة إلى اختراق البيانات في أكتوبر، عدلت Discord البيان في اليوم التالي لتوضح أن التحقق من العمر سيظل اختياريًا إلا إذا رغب المستخدمون في الوصول إلى خوادم وقنوات مقيدة بالعمر.

قالت Discord إنها يمكنها تحديد أعمار معظم المستخدمين باستخدام “المعلومات التي لدينا بالفعل”. ولن يتعين على معظم المستخدمين رفع هويات حكومية، بل يمكنهم اختيار تسجيل فيديو سيلفي.

وأضافت: “نقدم خيارات متعددة تركز على الخصوصية من خلال شركاء موثوقين”، مشيرة إلى أن “مسح الوجوه لا يغادر جهازك أبدًا. Discord وشركاؤنا من البائعين لا يتلقونها أبدًا.”

أي مستندات تعريفية يتم رفعها إلى Discord ستُقدم إلى بائعي الطرف الثالث في المنصة وتُحذف بسرعة. وقالت: “في معظم الحالات، مباشرة بعد تأكيد العمر”، مضيفة أن “الهويات تُستخدم فقط لمعرفة عمرك ثم تُحذف”. وأضافت أن “Discord يتلقى فقط عمرك — هذا كل شيء. هويتك لا ترتبط بحسابك أبدًا.”

ومع ذلك، فإن نسخة محذوفة من الأسئلة الشائعة الخاصة بـ Discord حول سياسات التحقق من العمر تظهر تناقضًا مع ادعاءات الشركة حول مدة تخزين الهويات الحكومية من قبل البائع الخارجي، وهو Persona في هذه الحالة.

وجاء في نسخة أرشيفية من الموقع: “مهم: إذا كنت مقيمًا في المملكة المتحدة، قد تكون جزءًا من تجربة حيث سيتم معالجة معلوماتك بواسطة بائع ضمان العمر، Persona”، مشيرة إلى أن المعلومات التي تقدمها ستُخزن مؤقتًا لمدة تصل إلى 7 أيام ثم تُحذف. وللتحقق من وثيقة الهوية، يتم تمويه جميع التفاصيل باستثناء صورتك وتاريخ ميلادك، بحيث يُستخدم فقط ما هو ضروري للتحقق من العمر.

Persona تتعامل مع البيانات الشخصية

قال الرئيس التنفيذي والمؤسس المشارك لـ Persona، ريك سونغ، لـ Fortune إن الملفات لم تكن ثغرة أمنية، بل هي معلومات أمامية accessible علنًا. “ما تم العثور عليه هو ملفات غير مضغوطة لواجهة أمامية موجودة بالفعل على جهاز كل شخص”، قال، مضيفًا أن المعلومات متاحة على مركز المساعدة الخاص بالشركة ووثائق API. “لا أعتقد أن وجود ملفات غير مضغوطة على الإنترنت أمر جيد”، تابع سونغ، لكنه أضاف أن المعلومات التي عثر عليها الباحث هي النسخة غير المضغوطة من خريطة المصدر المضغوطة الخاصة بالشركة على الإنترنت.

“أعتقد أن هذا أحد الحالات التي يبدو محتواها أكثر رعبًا، لكن… داخليًا، لم نعتبرها حتى ثغرة أمنية كبيرة.”

لا يزال سونغ يعتبر الشراكة بين Persona و Discord ناجحة. وقال لـ Fortune: “أعتقد أن أداء المنتج كان ممتازًا جدًا”، مضيفًا: “السبب في أننا استطعنا القول إن جميع البيانات تم تصفيتها على الفور هو أن البيانات كانت مصفاة؛ لقد تم تصفيتها بالفعل عند المعالجة. ليس الأمر أن العقدة انتهت أو أن البيانات حُذفت بسبب إنهاء العقد.”

نفى سونغ أي علاقات مع Palantir أو ICE أو الحكومة، لكنه قال إن الشركة تمر بعملية اعتماد FedRAMP. “نحاول الحصول على FedRAMP، والهدف من ذلك هو أن نقوم بالكثير من العمل لأمان القوى العاملة”، والذي يستخدم مجموعة أخرى من المعلومات لتأكيد هوية الموظف مقارنةً بمستخدم على منصة تواصل اجتماعي يتحقق من عمره.

ردًا على 269 نوعًا من فحوصات التحقق، قال سونغ إن هذه كلها خيارات تقدمها Persona، لكنها لا تعني بالضرورة أن العميل يحتاج إلى جميعها. في جوهر الأمر، احتياجات منصة التواصل الاجتماعي للتحقق من العمر لن تكون نفسها التي يحتاجها صاحب عمل لإجراء فحص خلفية.

وفي عطلة نهاية الأسبوع، نفى سونغ أن تكون Persona — التي تقدم أيضًا حلول معرفة عميلك (KYC) ومكافحة غسيل الأموال (AML) — تربط القياسات الحيوية للوجه بالسجلات المالية أو قواعد بيانات إنفاذ القانون. نشر سونغ لقطات شاشة لمحادثة عبر البريد الإلكتروني مع الباحثة “سيليست” على X، موضحًا أن تلميح الباحث لوجود علاقة بين Persona و Palantir و ICE أدى إلى تهديدات ضد أعضاء الشركة.

قال سونغ: “ليس لدينا أي علاقة على الإطلاق مع ICE أو Palantir”، مضيفًا أن بعض أعضاء الشركة الذين تلقوا رد فعل سلبي هم خريجون جدد أو أشخاص انضموا مؤخرًا. “لا أعتقد أن هؤلاء الأشخاص هم الذين يجب أن توجه إليهم غضب الجمهور، وإذا كان هناك من يجب أن يُلام، فهو أنا.”

كما تعرض سونغ للهجوم بسبب نقص المعلومات الشخصية التي يمكن تحديدها على الإنترنت. نشر مستخدم على X لقطة شاشة لملف سونغ على LinkedIn يظهر أن سونغ يحمل علامة تحقق ولكن بدون صورة ملف شخصي. وتتعامل Persona مع طلبات التحقق من الهوية على LinkedIn.

وردًا على ذلك، كتب سونغ: “أنا موثّق. هذه هي النقطة الأساسية. من الديستوبيا أن نريد من الناس أن يواجهوا أنفسهم أمام الجميع ليكونوا حقيقيين على الإنترنت. من الساخر أن الأشخاص الذين يتحدثون عن الخصوصية يريدون مني أن أواجه نفسي أمام الجميع.”

انضم إلينا في قمة ابتكار مكان العمل من Fortune في 19-20 مايو 2026 في أتلانتا. عصر جديد من ابتكار مكان العمل هنا — والكتاب القديم يُعاد كتابته. في هذا الحدث الحصري والنشيط، يجتمع قادة أكثر ابتكارًا في العالم لاستكشاف كيف تتلاقى الذكاء الاصطناعي والبشرية والاستراتيجية لإعادة تعريف مستقبل العمل مرة أخرى. سجل الآن.