Discord прекращает сотрудничество с программным обеспечением для верификации, поддерживаемым Питером Тилем, после обнаружения связи его кода с американскими разведывательными операциями

Платформа для коммуникации Discord подверглась критике после обнаружения фронтенд-кода программного обеспечения Persona Identities, который был доступен в открытом интернете и на государственных серверах.

Рекомендуемое видео

Почти 2500 доступных файлов были найдены на разрешённой правительственной точке доступа, отметили исследователи в X. Файлы показывали, что Persona проводит проверки по распознаванию лиц по спискам наблюдения и скринингу пользователей по спискам политически значимых лиц.

Помимо проверки возраста пользователя, исследователи обнаружили, что Persona выполняет 269 различных проверок, включая скрининг на «негативные медиа» в 14 категориях, таких как терроризм и шпионаж. Затем она присваивает риск и оценки сходства пользовательской информации.

И эта информация была открыто доступна. «Нам даже не пришлось писать или выполнять ни одного эксплойта, вся архитектура была прямо на пороге», — написали исследователи в своем блоге, добавив, что они нашли 53 мегабайта данных на государственном сервере Федеральной программы управления рисками и авторизацией (FedRAMP), который также «маркирует отчеты кодовыми именами из активных разведывательных программ».

С тех пор Discord объявил о разрыве связей с Persona. Это программное обеспечение, частично финансируемое венчурным фондом Founders Fund соучредителя Palantir Питера Тиля, продолжает предоставлять услуги по проверке возраста для OpenAI, Lime и Roblox.

И Persona, и Discord подтвердили Fortune, что их партнерство длилось менее месяца и было прекращено. По словам Discord, в этом тестировании участвовало лишь небольшое число пользователей, и вся предоставленная информация могла храниться до семи дней, после чего она удалялась.

Ошибки в обновлении безопасности Discord

Это не первый раз, когда сторонний поставщик вызывает подозрения за неправильное обращение с конфиденциальной информацией пользователей Discord, популярной среди геймеров, студентов, инфлюенсеров, техно-профессионалов и других сообществ.

В прошлом году хакеры получили доступ к государственным удостоверениям личности более чем 70 000 человек, соответствовавших требованиям по возрасту.

В заявлении от 9 октября 2025 года компания заявила, что атака «не является нарушением Discord, а нарушением третьего поставщика услуг, 5CA». Discord отметил, что утечка затронула только тех пользователей, которые общались с командой поддержки или командами доверия и безопасности.

«В Discord защита конфиденциальности и безопасности наших пользователей — главный приоритет. Поэтому для нас важно быть прозрачными с ними относительно событий, влияющих на их личную информацию», — добавили в заявлении. Пострадавшие пользователи получили электронное письмо, если их государственные удостоверения, IP-адреса или ограниченные данные о платеже и компании были скомпрометированы.

Ранее в этом месяце Discord столкнулся с почти мгновенной критикой после объявления, что все аккаунты по умолчанию будут настроены на режим безопасности для подростков. Пользователи, желающие получить доступ к дополнительным функциям, должны были подтвердить свой возраст с помощью Persona.

«Внедрение настроек по умолчанию для подростков по всему миру основывается на существующей архитектуре безопасности Discord», — сказала руководитель политики продукта Savannah Badalich. Компания «будет продолжать работать с экспертами по безопасности, законодателями и пользователями Discord для поддержки значимого и долгосрочного благополучия».

Однако после того, как пользователи быстро указали на утечку данных в октябре, Discord на следующий день исправила заявление, уточнив, что подтверждение возраста останется необязательным, если пользователи не захотят получить доступ к серверам и каналам с ограниченным возрастом.

Discord заявил, что может определить возраст большинства пользователей, используя «уже имеющуюся у нас информацию». Большинство пользователей не придется загружать государственные удостоверения и вместо этого можно выбрать видеоселфи.

«Мы предлагаем несколько вариантов с учетом конфиденциальности через доверенных партнеров», — говорится в дополнении, добавляя, что «фасциальные сканы никогда не покидают ваше устройство. Discord и наши партнеры по поставке никогда их не получают».

Любые загруженные в Discord документы, удостоверяющие личность, будут передаваться сторонним поставщикам и быстро удаляться. «В большинстве случаев — сразу после подтверждения возраста», — говорится в заявлении.

«Удостоверения используются только для определения вашего возраста и затем удаляются», — продолжает оно. «Discord получает только ваш возраст — и всё. Ваша личность никогда не связывается с вашим аккаунтом».

Однако версия FAQ Discord о политике подтверждения возраста, которая была удалена, противоречит заявлениям компании о том, как долго хранятся государственные удостоверения третьими сторонами, в данном случае Persona.

«Важно: если вы находитесь в Великобритании, вы можете участвовать в эксперименте, при котором ваша информация будет обрабатываться поставщиком услуг по обеспечению возраста, Persona», — говорится в архивной версии сайта. «Предоставленная вами информация будет временно храниться до 7 дней, затем удаляться. Для проверки удостоверения личности все детали размыты, кроме вашего фото и даты рождения, чтобы использовать только то, что действительно необходимо для подтверждения возраста.»

Persona получает личные данные

Генеральный директор и соучредитель Persona Рик Сонг сообщил Fortune, что файлы не являются уязвимостью, а представляют собой публично доступную фронтенд-информацию. «Обнаруженные файлы — это распакованные файлы фронтенда, который уже есть на каждом устройстве», — сказал он, добавив, что эта информация доступна в центре помощи компании и в документации API. «Я не считаю, что наличие распакованных файлов в интернете — хорошо», — продолжил Сонг, — «но обнаруженная исследователем информация — это распакованная версия сжатой карты исходных кодов компании, размещенной онлайн.»

«Я считаю, что это одна из ситуаций, когда содержимое кажется более страшным, чем есть на самом деле… внутри мы не рассматривали это даже как серьезную уязвимость.»

Сонг по-прежнему считает партнерство между Persona и Discord успешным. «Я считаю, что эффективность продукта была очень высокой», — сказал он Fortune. «Причина, по которой мы можем утверждать, что все данные были немедленно удалены, в том, что они были уже отредактированы; они были удалены сразу после проверки личности. Это не связано с расторжением контракта — данные удаляются немедленно после подтверждения.»

Сонг отрицал любые связи с Palantir, ICE или правительством, но отметил, что компания проходит процедуру получения разрешения FedRAMP. «Мы пытаемся получить FedRAMP, и цель этого — обеспечить безопасность рабочей силы», — сказал он, — «используя совершенно другой набор данных для подтверждения личности сотрудника, чем для проверки возраста пользователя в соцсети.»

Что касается 269 видов проверок, которые предлагает Persona, — это все возможные опции, отметил Сонг, но это не означает, что клиенту потребуется использовать все. По сути, потребности соцсети в проверке возраста отличаются от требований работодателя при проведении проверки биографических данных.

На выходных Сонг опроверг связь Persona, которая также предлагает решения Know Your Customer (KYC) и Anti-Money Laundering (AML), с финансовыми записями или базами данных правоохранительных органов. Он опубликовал скриншоты переписки по электронной почте с исследователем «Celeste» в X, в которых говорится, что намек на связь Persona, Palantir и ICE привел к угрозам в адрес сотрудников компании.

«У нас нет никаких связей с ICE, Palantir», — говорится в скриншоте переписки. Генеральный директор добавил, что некоторые сотрудники, получившие негативную реакцию, — это новички или недавно присоединившиеся к компании. «Я считаю, что именно на меня должны быть направлены эти обвинения, а не на других.»

Также Сонг подвергся критике за отсутствие личной идентифицируемой информации в сети. Пользователь в X опубликовал скриншот профиля Сонга в LinkedIn с подтвержденным значком, но без фото профиля. Persona управляет запросами на проверку личности в LinkedIn.

В ответ Сонг написал: «Я подтвержден. В этом весь смысл. Это дистопия — чтобы люди показывали свою личность всем, чтобы быть реальными онлайн. Иронично, что те, кто пишет о конфиденциальности, требуют, чтобы я показывал свою личность всем.»

Присоединяйтесь к нам на Summit по инновациям в сфере труда Fortune 19–20 мая 2026 года в Атланте. Эра инноваций в рабочем пространстве уже наступила — и старые правила переписываются. На этом эксклюзивном и динамичном мероприятии ведущие мирового уровня соберутся, чтобы обсудить, как ИИ, человечество и стратегия вновь меняют будущее работы. Регистрируйтесь сейчас.