A Discord megszakítja az együttműködést
Egy idő után a Discord bejelentette, hogy megszünteti a kapcsolatot a Personával, amelynek fejlesztését többek közt Peter Thiel, a Palantir társalapítója is finanszírozta. Bár a Persona jelenleg továbbra is szolgáltat életkor-ellenőrzési megoldásokat az OpenAI, a Lime és más cégek számára, a Discorddal való együttműködés kevesebb mint egy hónapig tartott. A vállalat szerint a tesztidőszakban csak kevés felhasználót érintett az új rendszer, és minden beadott információt legfeljebb hét napig tároltak, mielőtt törölték volna azokat.
Korábbi adatvédelmi bakik és felhasználói felháborodás
A Discord nem először áll adatkezelési kritikák kereszttüzében. Tavaly hackerek több mint 70 000 felhasználó kormányzati igazolványához fértek hozzá, miután azok eleget tettek az életkor-ellenőrzési követelményeknek. A vállalat hangsúlyozta, hogy a támadás az 5CA nevű külső szolgáltatón keresztül történt, és csak azokat érintette, akik kapcsolatba léptek a Discord ügyfélszolgálatával vagy biztonsági csapatával.
Nemrég a Discord újabb botrányt keltett, amikor bejelentette, hogy minden felhasználó alapértelmezetten tizenéveseknek szóló biztonsági beállításokat kap. Az extra funkciók eléréséhez kötelezővé akarták tenni az életkor-ellenőrzését a Persona segítségével. A viharos reakciók hatására másnap pontosítottak: a korhatár-ellenőrzés továbbra is csak akkor szükséges, ha valaki korhatáros szerverhez vagy csatornához akar hozzáférni. A Discord szerint a legtöbb felhasználó életkora meghatározható a rendszerben meglévő adatok alapján, ezért a legtöbben videós szelfivel igazolhatják majd életkorukat, és nem kell feltétlenül kormányzati igazolványt feltölteniük.
Az életkort igazoló dokumentumokat a rendszer alvállalkozó partnereknek továbbítja, és a legtöbb esetben azonnal törli azokat az azonosítást követően. A Discord szerint soha nem társítják a személyazonosságot a felhasználói fiókkal: csak az életkor kerül rögzítésre.
Mi derült ki a Persona működéséről?
A Persona vezérigazgatója, Rick Song tagadta, hogy a nyilvánosságra került fájlok sérülékenységet tartalmaznának, szerinte mindössze tömörítetlen front-end állományokról van szó, amelyek minden felhasználó eszközén megtalálhatók. Hozzátette, nem tartja szerencsésnek, hogy ezek az interneten is elérhetővé váltak, de alapvetően nem tekintik őket súlyos biztonsági kockázatnak.
A Persona cég hivatalosan is elhatárolódott mindenféle kapcsolattól kormányzati vagy rendészeti szervekkel, például a Palantirral, illetve az amerikai Bevándorlási és Vámhivatallal (ICE). Jelenleg egy kormányzati engedélyeztetési folyamaton (FedRAMP) mennek keresztül a munkahelyi, belső azonosítási szolgáltatásaikkal, de állításuk szerint közösségi platformokon végzett életkor-ellenőrzésnél jóval kevesebb személyes információt használnak fel, mint például alkalmazottak háttérellenőrzésénél.
A 269 ellenőrzés lehetősége csak lehetőség a szolgáltatásban, minden ügyfél maga választja ki, milyen szintű azonosítást kér. A vezérigazgató arról is beszélt, hogy semmilyen biometrikus adat nem kerül pénzügyi vagy rendvédelmi szerverekre, és a szolgáltatásuk még tudatosabban figyel a személyes adatok védelmére, mint a legtöbb versenytársuk.
Személyes támadások és reakciók
Rick Songot személyesen is támadások érték, elsősorban azért, mert nincs profilképe a LinkedIn-oldalán, annak ellenére, hogy ő adja ki a személyazonosító igazolásokat másoknak ezen a platformon is. Erre úgy reagált, hogy szerinte abszurd volna bárkit „arclebuktatni” az interneten csak azért, hogy valós személynek tűnjön – miközben a felháborodott felhasználók épp a magánszféra védelméért aggódnak.
A fentiek tükrében a Discord körüli adatbiztonsági botrány jól mutatja, mennyire törékeny egy többmilliós online közösség adatvédelme még 2025-ben is. A felhasználóktól elvárt digitális bizalom határai és a külső partnerek szerepe folyamatos vita tárgyát képezik, különösen akkor, amikor a személyes adatok átmenetileg akár kormányzati rendszerekhez is eljuthatnak.
