Discord розриває зв'язки з програмним забезпеченням для верифікації, підтримуваним Пітером Тілем, після того, як його код був виявлений у зв'язку з американськими розвідувальними заходами

Платформа для спілкування Discord піддається критиці після виявлення, що її програмне забезпечення для ідентифікації Persona Identities має доступний фронтенд-код у відкритому інтернеті та на урядових серверах.

Рекомендоване відео

Майже 2500 доступних файлів були знайдені на урядовому кінцевому пункті, упевнилися дослідники у X. Файли показували, що Persona проводила перевірки за допомогою розпізнавання обличчя щодо списків спостереження та перевіряла користувачів за списками політично вразливих осіб.

Крім перевірки віку користувача, дослідники виявили, що Persona виконує 269 різних перевірок, зокрема скринінг на “негативні медіа” у 14 категоріях, таких як тероризм і шпигунство. Потім вона присвоює ризикові та подібні оцінки інформації користувача.

І ця інформація була відкрито доступною. “Нам навіть не довелося писати або виконувати жодних експлойтів, вся архітектура була просто на порозі,” написали дослідники у своєму блозі, додавши, що вони знайшли 53 мегабайти даних на урядовому кінцевому пункті FedRAMP, який також “мітить звіти кодовими іменами активних розвідувальних програм.”

З того часу Discord оголосив про розірвання співпраці з Persona. Це програмне забезпечення, частково фінансоване венчурною компанією співзасновника Palantir Пітера Тієля — Founders Fund, продовжує надавати послуги з перевірки віку для OpenAI, Lime і Roblox.

І Persona, і Discord підтвердили Fortune, що їхня співпраця тривала менше місяця і з того часу припинена. За словами Discord, лише невелика кількість користувачів брала участь у цьому тестуванні, під час якого будь-яка подана інформація могла зберігатися до семи днів перед видаленням.

Помилки у безпеці Discord

Це не перший випадок, коли сторонній постачальник піддається критиці за неправильне поводження з конфіденційною інформацією користувачів Discord, популярної серед геймерів, студентів, інфлюенсерів, технічних фахівців та інших спільнот.

Минулого року хакери отримали доступ до урядових ID понад 70 000 користувачів, які виконали вимоги щодо перевірки віку.

У заяві від 9 жовтня 2025 року компанія зазначила, що атака була “не порушенням Discord, а порушенням стороннього сервіс-провайдера 5CA.” Discord заявив, що цей інцидент торкнувся лише користувачів, які спілкувалися з командою підтримки клієнтів або командою довіри та безпеки.

“У Discord захист приватності та безпеки наших користувачів — пріоритет номер один. Тому для нас важливо бути прозорими щодо подій, що впливають на їхню особисту інформацію,” додала компанія. Постраждалі користувачі отримали електронний лист, якщо їхні урядові ID, IP-адреси або обмежені платіжні та корпоративні дані були витекли.

На початку цього місяця Discord швидко отримав критику після оголошення, що всі акаунти за замовчуванням будуть налаштовані на режим безпеки для підлітків. Користувачам, які бажають отримати доступ до додаткових функцій, потрібно буде підтвердити свій вік за допомогою Persona.

“Запровадження глобальних налаштувань для підлітків за замовчуванням базується на існуючій архітектурі безпеки Discord,” сказала керівниця політики продукту Savannah Badalich. Компанія “продовжить співпрацю з експертами з безпеки, законодавцями та користувачами Discord для підтримки значущого, довгострокового добробуту.”

Однак після швидкої реакції користувачів щодо зломів даних у жовтні, Discord наступного дня змінила заяву, щоб уточнити, що підтвердження віку залишиться необов’язковим, якщо користувачі не захочуть отримати доступ до серверів і каналів з обмеженим віком.

Discord заявив, що може визначити вік більшості користувачів, використовуючи “інформацію, яку ми вже маємо.” Більшість користувачів не повинні завантажувати урядові ID і можуть обрати відео-селфі.

“Ми пропонуємо кілька приватних опцій через надійних партнерів,” додала компанія, зазначивши, що “фейс-скани ніколи не залишають вашого пристрою. Discord і наші партнерські компанії ніколи їх не отримують.”

Будь-які документи, що завантажуються до Discord, будуть передані стороннім постачальникам і швидко видалені. “У більшості випадків — одразу після підтвердження віку,” йдеться у заяві.

“ID використовуються лише для визначення віку і потім видаляються,” продовжила компанія. “Discord отримує лише ваш вік — і все. Ваша особистість ніколи не пов’язується з вашим акаунтом.”

Однак, зникла версія FAQ Discord щодо політики підтвердження віку, яка суперечить заявам компанії про те, як довго урядові ID зберігаються у стороннього постачальника, у цьому випадку — Persona.

“Важливо: якщо ви перебуваєте у Великій Британії, ви можете бути учасником експерименту, де ваша інформація буде оброблятися постачальником послуг з підтвердження віку, Persona,” йдеться у архівній версії сайту. “Виразно зазначена інформація буде тимчасово зберігатися до 7 днів, а потім видалена. Для перевірки ID всі деталі розмиті, крім вашої фотографії та дати народження, щоб використовувалося лише те, що дійсно потрібно для підтвердження віку.”

Persona отримує особисту інформацію

Генеральний директор і співзасновник Persona Рік Сонг повідомив Fortune, що файли не є вразливістю, а скоріше — публічно доступною інформацією фронтенду. “Знайдені були незжаті файли фронтенду, який вже є на кожному пристрої,” сказав він, додавши, що ця інформація доступна у центрі допомоги компанії та в API-документації. “Я не вважаю, що наявність незжатих файлів онлайн є добре,” додав Сонг, але зазначив, що знайдені дослідником дані — це незжатий варіант стисненої карти джерел компанії, яка є онлайн.

“Я вважаю, що це один із випадків, коли зміст здається страшнішим, але… всередині ми не вважали це навіть серйозною вразливістю.”

Сонг все ще вважає співпрацю між Persona і Discord успішною. “Я вважаю, що продуктивність продукту була надзвичайною,” сказав він Fortune. “Причина, чому ми могли сказати, що всі дані були негайно зредаговані, полягає в тому, що дані вже були відредаговані під час обробки. Це не через припинення контракту ми їх видаляємо. Вони видаляються одразу після перевірки особи.”

Сонг заперечує будь-які зв’язки з Palantir, ICE або урядом, але зазначив, що компанія проходить процес отримання сертифікації FedRAMP. “Ми намагаємося отримати FedRAMP, і мета цього — забезпечити безпеку робочої сили,” що використовує іншу інформацію для підтвердження особи працівника, ніж для підтвердження віку користувача у соцмережах.

Щодо 269 видів перевірок, які пропонує Persona, Сонг сказав, що це всі можливості, але це не означає, що клієнт повинен використовувати їх усі. За його словами, потреби соціальної платформи для перевірки віку не такі ж, як у роботодавця для проведення фону.

На вихідних Сонг заперечив, що Persona — яка також пропонує рішення Know Your Customer (KYC) і Anti-Money Laundering (AML) — пов’язана з фінансовими записами або базами даних правоохоронних органів. Він опублікував скріншоти електронної переписки з дослідником “Celeste” у X, де стверджується, що натяк на зв’язки між Persona, Palantir і ICE спричинив погрози проти членів компанії.

“Ми не маємо жодних стосунків з ICE, Palantir,” йдеться у скріншоті електронної переписки. Генеральний директор додав, що деякі співробітники, які отримали негативну реакцію, — це нові випускники або люди, які щойно приєдналися. “Я не вважаю, що цю злість слід спрямовувати на них, і якщо вже когось, то мене.”

Також його критикували за відсутність особистої ідентифікаційної інформації в інтернеті. Користувач у X опублікував скріншот профілю CEO у LinkedIn із підтвердженим значком, але без фотографії профілю. Persona обробляє запити на підтвердження особистості у LinkedIn.

У відповідь Сонг написав: “Я підтверджений. Це вся суть. Це дистопія, коли ми хочемо, щоб люди відкривали себе всім, щоб бути реальними онлайн. Іронія в тому, що ті, хто пише про приватність, хочуть, щоб я відкрився всім.”