Viestintäalusta Discord on tulipalossa sen jälkeen, kun sen henkilöllisyydenvarmistusohjelmistossa, Persona Identitiesissa, löydettiin käyttöliittymäkoodi, joka on käytettävissä avoimessa Internetissä ja valtion palvelimilla.
Lähes 2 500 tiedostoa löydettiin saatavilla Yhdysvaltain hallituksen hyväksymässä päätepisteessä, tutkijat huomauttivat
Käyttäjän iän vahvistamisen lisäksi tutkijat havaitsivat, että Persona suorittaa 269 erilaista varmennustarkistusta, mukaan lukien “haitallisen median” havaitseminen 14 eri kategoriassa, kuten terrorismi ja vakoilu. Sitten se antaa riski- ja samankaltaisuuspisteet käyttäjän tiedoille.
Ja tieto oli avoimesti saatavilla. “Meidän ei tarvinnut edes kirjoittaa tai suorittaa yhtäkään hyväksikäyttöä, koko arkkitehtuuri oli aivan nurkan takana”, tutkijat kirjoittivat blogissaan ja lisäsivät löytäneensä 53 megatavua dataa Federal Risk and Authorization Management Program (FedRAMP) hallituksen terminaalista, joka myös “merkitsi raportit aktiivisten tiedusteluohjelmien koodinimillä”.
Discord on sittemmin ilmoittanut, että se katkaisee suhteet Personaan. Tekoälyohjelmisto, jota osittain rahoittaa Palantirin toinen perustaja Peter Thielin pääomayhtiö Founders Fund, tarjoaa edelleen iänvarmistuspalveluita OpenAI:lle, Limelle ja Robloxille.
Sekä Persona että Discord vahvistivat Fortunelle, että heidän kumppanuutensa kesti alle kuukauden ja on sittemmin eronnut. Discordin mukaan vain pieni määrä käyttäjiä osallistui tähän testiin, jossa lähetettyä tietoa voitiin säilyttää jopa seitsemän päivää ennen poistamista.
Discord-tietoturvakorjausvirheet
Tämä ei ole ensimmäinen kerta, kun kolmannen osapuolen toimittaja on joutunut tarkastelun kohteeksi arkaluonteisten käyttäjätietojen väärinkäsittelystä Discordissa, joka on suosittu pelaajien, opiskelijoiden, vaikuttajien, tekniikan ammattilaisten ja muiden yhteisöjen keskuudessa.
Viime vuonna hakkerit käyttivät yli 70 000 iän varmistusvaatimukset täyttäneen ihmisen viranomaistunnuksia.
Yhtiö sanoi 9. lokakuuta 2025 antamassaan lausunnossa, että hyökkäys “ei ollut Discord-rikkomus, vaan pikemminkin kolmannen osapuolen palveluntarjoajan, 5CA:n, rikkomus”. Discordin mukaan tietomurto vaikutti vain käyttäjiin, jotka ottivat yhteyttä yrityksen asiakastukeen tai luottamus- ja turvallisuustiimeihin.
Ja aiemmin tässä kuussa Discord kohtasi lähes välittömän vastareaktion sen jälkeen, kun se ilmoitti, että kaikki tilit asetetaan oletuksena teini-ikäisten turva-asetuksiin. Käyttäjien, jotka haluavat käyttää lisäominaisuuksia, on vahvistettava ikänsä Personan avulla.
“Teinien oletusasetusten käyttöönotto perustuu maailmanlaajuisesti Discordin olemassa olevaan tietoturva-arkkitehtuuriin”, Discordin tuotepolitiikan johtaja Savannah Badalich sanoi lausunnossaan. Yhtiö “jatkoa työskentelyä tietoturva-asiantuntijoiden, poliittisten päättäjien ja Discord-käyttäjien kanssa mielekkään pitkän aikavälin hyvinvoinnin tukemiseksi.”
Mutta sen jälkeen kun käyttäjät huomauttivat nopeasti lokakuun tietomurrosta, Discord muutti lausuntoa seuraavana päivänä selventääkseen, että iän vahvistaminen pysyisi valinnaisena, elleivät käyttäjät halua käyttää ikärajoitettuja palvelimia ja kanavia.
Discord sanoi, että se voi määrittää useimpien käyttäjien iän käyttämällä “joillamme olevia tietoja”. Useimpien käyttäjien ei tarvitsisi kantaa mukanaan virallisia henkilöllisyystodistuksia, vaan he voivat valita videoselfien.
“Tarjoamme useita tietosuojavaihtoehtoja luotettujen kumppaneiden kautta”, lisäyksessä todettiin ja lisättiin, että “kasvoskannaukset eivät koskaan poistu laitteestasi. Discord ja toimittajakumppanimme eivät koskaan saa niitä.”
Kaikki Discordiin ladatut henkilöllisyystodistukset lähetetään alustan kolmansille osapuolille ja poistetaan nopeasti. “Useimmissa tapauksissa heti iän vahvistamisen jälkeen”, lausunnossa sanotaan.
“Tunnuksia käytetään vain ikäsi selvittämiseen ja sitten ne poistetaan”, hän jatkoi. “Discord saa vain ikäsi, siinä kaikki. Henkilöllisyyttäsi ei koskaan yhdistetä tiliisi.”
Sittemmin poistettu versio Discordin usein kysytyistä kysymyksistä iän vahvistuskäytännöistä näyttää kuitenkin olevan ristiriidassa yrityksen väitteiden kanssa siitä, kuinka kauan kolmannen osapuolen toimittaja, tässä tapauksessa Persona, säilyttää viranomaistunnuksia.
“Tärkeää: Jos olet Isossa-Britanniassa, saatat olla mukana kokeilussa, jossa tietosi käsittelee iäntarkistuspalvelu Persona”, lukee sivuston arkistoidussa versiossa. “Lähettämäsi tiedot säilytetään tilapäisesti enintään 7 päivää, minkä jälkeen ne poistetaan. Henkilöllisyystodistuksessa kaikki tiedot sumennetaan paitsi valokuvasi ja syntymäaikasi, joten vain iän vahvistamiseen tarvittavat tiedot käytetään.”
Ihmisestä tulee persoonallinen
Personan toimitusjohtaja ja perustaja Rick Song kertoi Fortunelle, että tiedostot eivät olleet haavoittuvuus, vaan julkisesti saatavilla oleva käyttöliittymätieto. “Löydettiin pakkaamattomia tiedostoja käyttöliittymästä, joka on jo jokaisen henkilön laitteessa”, hän sanoi ja lisäsi, että tiedot löytyvät yrityksen ohjekeskuksesta ja API-dokumentaatiosta. “En usko, että pakkaamattomien tiedostojen pitäminen verkossa on hyvä”, Song jatkoi, mutta lisäsi, että tutkijan löytämät tiedot ovat pakkaamaton versio yrityksen online-pakkatusta lähdekartasta.
“Luulen, että tämä on yksi niistä, joissa sisältö näyttää pelottavammalta, mutta… sisäisesti emme pidä tätä edes suurena haavoittuvana.”
Song pitää Personan ja Discordin kumppanuutta edelleen onnistuneena. “Mielestäni tuotteen suorituskyky oli uskomattoman hyvä”, toimitusjohtaja kertoi Fortunelle. “Syy, miksi pystyimme toteamaan, että kaikki tiedot poistettiin välittömästi, on se, että tiedot on poistettu; ne oli poistettu jo käsittelyn aikana. Kyse ei ole siitä, että olisimme poistaneet tiedot sopimuksen irtisanomisen vuoksi. Ne poistetaan välittömästi henkilön tarkistuksen jälkeen.”
Song kiisti yhteydet Palantiriin, ICE:hen tai hallitukseen, mutta sanoi, että yhtiö käy läpi FedRAMP-selvitystä. “Yritämme saada FedRAMP:ia ja tavoitteena on tehdä paljon työtä työvoiman turvallisuuden eteen”, joka käyttää täysin erilaisia tietoja vahvistaakseen, että työntekijä on se, joka hän sanoo olevansa verrattuna ikänsä vahvistavaan sosiaalisen median alustaan.
Vastauksena 269 tyyppiseen varmennustarkistuksiin nämä ovat kaikki Personan tarjoamia vaihtoehtoja, Song sanoi, mutta se ei välttämättä tarkoita, että asiakas tarvitsee niitä kaikkia. Pohjimmiltaan sosiaalisen median iän varmistustarpeet eivät olisi samat kuin taustatarkistusta tekevän työnantajan tarpeet.
Song joutui myös hyökkäyksen kohteeksi, koska hänellä ei ollut henkilökohtaisia tunnistetietoja verkossa. X-käyttäjä julkaisi kuvakaappauksen toimitusjohtajan LinkedIn-profiilista, jossa näkyy Song vahvistetulla tunnuksella, mutta ei profiilikuvaa. Persona käsittelee LinkedIn-henkilöllisyyden vahvistuspyynnöt.
Vastauksena Song kirjoitti: “Olen varmistettu. Se on pointti. On dystopista, että haluamme ihmisten vastustavan kaikkia ollakseen todellisia verkossa. On ironista, että yksityisyydestä postaavat ihmiset haluavat minun vastustavan kaikkia.”