Коммуникационная платформа Discord подверглась критике после того, как было обнаружено, что ее программное обеспечение для проверки личности Persona Identities имеет код интерфейса, доступный в открытом Интернете и на государственных серверах.
Исследователи отметили, что на конечной точке, санкционированной правительством США, было обнаружено около 2500 файлов.
Исследователи обнаружили, что помимо проверки возраста пользователя Persona выполняет 269 различных проверок, включая обнаружение «неблагоприятных медиа» в 14 различных категориях, таких как терроризм и шпионаж. Затем он присваивает информации пользователя оценки риска и сходства.
И информация была в открытом доступе. «Нам даже не пришлось писать или выполнять ни одного эксплойта, вся архитектура была прямо за углом», — написали исследователи в своем блоге, добавив, что они обнаружили 53 мегабайта данных на правительственном терминале Федеральной программы управления рисками и авторизацией (FedRAMP), который также «помечал отчеты кодовыми названиями активных разведывательных программ».
С тех пор Discord объявил, что разрывает отношения с Persona. Программное обеспечение искусственного интеллекта, частично финансируемое венчурной фирмой Founders Fund соучредителя Palantir Питера Тиля, продолжает предоставлять услуги проверки возраста для OpenAI, Lime и Roblox.
И Persona, и Discord подтвердили Fortune, что их партнерство продлилось менее месяца и с тех пор распалось. По данным Discord, в этом тесте приняло участие лишь небольшое количество пользователей, в ходе которого любая предоставленная информация могла храниться до семи дней, прежде чем быть удалена.
Ошибки исправлений безопасности Discord
Это не первый случай, когда сторонний поставщик оказывается под пристальным вниманием за неправильное обращение с конфиденциальной пользовательской информацией для Discord, который популярен среди геймеров, студентов, влиятельных лиц, технических специалистов и других сообществ.
В прошлом году хакеры получили доступ к государственным удостоверениям личности более 70 000 человек, которые соответствовали требованиям проверки возраста.
В заявлении от 9 октября 2025 года компания заявила, что атака «была не нарушением Discord, а скорее нарушением деятельности стороннего поставщика услуг 5CA». Discord заявил, что нарушение затронуло только пользователей, которые обращались в службу поддержки клиентов или в группы доверия и безопасности.
А ранее в этом месяце Discord почти сразу же столкнулся с негативной реакцией после объявления о том, что по умолчанию для всех учетных записей будут установлены настройки безопасности подростков. Пользователям, которым нужен доступ к дополнительным функциям, необходимо будет подтвердить свой возраст с помощью Persona.
«Внедрение настроек по умолчанию для подростков во всем мире основано на существующей архитектуре безопасности Discord», — заявила в своем заявлении глава отдела продуктовой политики Discord Саванна Бадалич. Компания «продолжит работать с экспертами по безопасности, политиками и пользователями Discord для поддержки значимого долгосрочного благополучия».
Но после того, как пользователи быстро указали на октябрьский взлом данных, Discord на следующий день внес поправки в заявление, уточнив, что проверка возраста останется необязательной, если только пользователи не захотят получить доступ к серверам и каналам с возрастными ограничениями.
Discord заявил, что может определить возраст большинства пользователей, используя «уже имеющуюся у нас информацию». Большинству пользователей не придется носить с собой правительственные удостоверения личности, и вместо этого они смогут выбрать видеоселфи.
«Мы предлагаем несколько вариантов конфиденциальности через доверенных партнеров», — говорится в дополнении, добавляя, что «сканы лица никогда не покидают ваше устройство. Discord и наши партнеры-поставщики никогда их не получают».
Любые документы, удостоверяющие личность, загруженные в Discord, будут отправлены сторонним поставщикам платформы и быстро удалены. “В большинстве случаев сразу после подтверждения возраста”, – говорится в сообщении.
«Идентификаторы используются только для определения вашего возраста, а затем удаляются», — продолжил он. «Discord получает только ваш возраст, вот и все. Ваша личность никогда не связана с вашей учетной записью».
Однако удаленная версия часто задаваемых вопросов Discord о политике проверки возраста, по-видимому, противоречит заявлениям компании о том, как долго сторонний поставщик, в данном случае Persona, хранит государственные удостоверения личности.
«Важно: если вы находитесь в Великобритании, вы можете стать участником эксперимента, в ходе которого ваша информация будет обработана провайдером проверки возраста Persona», — говорится в архивной версии сайта. «Отправленная вами информация будет временно храниться до 7 дней, а затем удаляться. При проверке личности все данные размываются, за исключением вашей фотографии и даты рождения, поэтому используется только то, что действительно необходимо для проверки возраста».
Человек становится личным
Генеральный директор и соучредитель Persona Рик Сонг рассказал Fortune, что эти файлы не являются уязвимостью, а являются общедоступной внешней информацией. «То, что было обнаружено, — это несжатые файлы интерфейса, который уже есть на устройстве каждого человека», — сказал он, добавив, что информация доступна в справочном центре компании и документации API. «Я не думаю, что наличие несжатых файлов в Интернете — это хорошо», — продолжил Сонг, но добавил, что информация, найденная исследователем, представляет собой несжатую версию онлайн-карты сжатых исходных кодов компании.
«Я думаю, что это один из тех случаев, когда контент кажется более пугающим, но… внутренне мы не считаем это даже серьезной уязвимостью».
Сон по-прежнему считает партнерство Persona и Discord успешным. «Я думаю, что производительность продукта была невероятно хорошей», — сказал генеральный директор Fortune. «Причина, по которой мы смогли сказать, что все данные были немедленно отредактированы, заключается в том, что данные были отредактированы; они уже были отредактированы во время обработки. Дело не в том, что мы удалили данные из-за расторжения договора. Они удаляются сразу после проверки личности».
Сонг отрицает какие-либо связи с Palantir, ICE или правительством, но говорит, что компания проходит проверку FedRAMP. «Мы пытаемся получить FedRAMP, и цель состоит в том, чтобы проделать большую работу по обеспечению безопасности рабочей силы», которая использует совершенно другой набор информации для подтверждения того, что сотрудник является тем, кем он себя называет, по сравнению с пользователем на платформе социальных сетей, проверяющим свой возраст.
По словам Сонга, в ответ на 269 типов проверочных проверок это все варианты, которые предлагает Persona, но это не обязательно означает, что клиенту нужны они все. По сути, потребности платформы социальных сетей в проверке возраста не будут такими же, как потребности работодателя, проводящего проверку анкетных данных.
Сун также подвергся нападкам из-за отсутствия в Интернете информации, позволяющей идентифицировать личность. Пользователь X опубликовал скриншот профиля генерального директора LinkedIn, на котором Сонг имеет подтвержденный значок, но без фотографии профиля. Persona обрабатывает запросы на проверку личности LinkedIn.
В ответ Сон написал: «Я проверен. В этом вся суть. Это антиутопия, что мы хотим, чтобы люди противостояли всем, чтобы быть реальными в Интернете. Иронично, что люди, которые пишут о конфиденциальности, хотят, чтобы я противостоял всем».
