Discord encerra contrato com o software de verificação de identidade ‘Persona’

 (fortune.com)
2 pontos por GN⁺ 2026-02-25 | 1 comentários | Compartilhar no WhatsApp
  • O código da Persona foi encontrado em um sistema de vigilância do governo dos EUA, levando o Discord a encerrar a parceria
  • A Persona é usada por X, OpenAI, Linkedin, Figma e Reddit para verificação de identidade e de idade
  • O código encontrado incluía funções de reconhecimento facial, monitoramento de pessoas politicamente expostas e verificação relacionada a terrorismo
  • Além da verificação de idade dos usuários, a Persona realizava 269 tipos de procedimentos de verificação, com uma estrutura que atribuía pontuações de risco e similaridade
  • O Discord explicou que essa colaboração foi um teste com menos de 1 mês de duração, e que as informações enviadas são armazenadas por no máximo 7 dias antes de serem apagadas

Encerramento da parceria entre Discord e Persona

  • O Discord encerrou a relação de cooperação depois que o código da Persona Identities foi encontrado na internet pública e em servidores do governo dos EUA
    • Pesquisadores relataram que cerca de 2.500 arquivos estavam acessíveis por endpoints aprovados pelo governo dos EUA
    • Esse código incluía funções de comparação com listas de alvos de vigilância, verificação de pessoas politicamente expostas e triagem de mídia relacionada a terrorismo e espionagem
  • Além da verificação de idade, a Persona executava 269 procedimentos individuais de verificação e verificava 14 categorias de itens de “mídia negativa”
    • A estrutura atribuía pontuações de risco e similaridade a cada informação do usuário
  • Os pesquisadores disseram que “não foi necessário escrever nem uma única linha de código de exploit” e mencionaram que 53 MB de dados foram encontrados em um endpoint governamental FedRAMP
    • Esses dados incluíam tags com codinomes de programas atuais de agências de inteligência

Resposta do Discord e política de privacidade

  • O Discord confirmou que a parceria com a Persona foi um projeto piloto com menos de 1 mês
    • Apenas parte dos usuários participou, e as informações enviadas são armazenadas por no máximo 7 dias antes de serem apagadas
  • O Discord já havia sido criticado anteriormente por problemas de segurança envolvendo serviços de terceiros
    • Em 2025, um hack do serviço 5CA expôs documentos de identidade governamentais de mais de 70 mil usuários
    • As informações vazadas incluíam endereços IP, parte dos dados de pagamento e dados corporativos
  • Recentemente, o Discord aplicou a configuração ‘teen-by-default’ a contas do mundo todo, mas, após reação negativa dos usuários, alterou a verificação de idade para opcional
    • A maioria dos usuários pode se verificar com uma selfie em vídeo em vez de documento de identidade governamental
    • O Discord afirmou explicitamente que “a varredura facial é processada apenas no dispositivo e não é enviada ao servidor”

Posição e esclarecimentos da Persona

  • O CEO da Persona, Rick Song, afirmou que os arquivos encontrados não eram uma vulnerabilidade de segurança, mas informações públicas de frontend
    • Segundo ele, “eram apenas arquivos de sourcemap não minificados expostos publicamente”, e esse código já existe nos dispositivos de todos os usuários
    • Ainda assim, ele reconheceu que “não é desejável que arquivos não minificados estejam online”
  • Song negou que a Persona tenha relação com a Palantir, a ICE ou órgãos do governo, e disse que a empresa está atualmente em processo de certificação FedRAMP
    • O objetivo da certificação seria fornecer serviços de segurança para verificação de identidade de funcionários
  • Os 269 itens de verificação da Persona são opções selecionáveis pelo cliente, e nem todos são usados em todos os casos
    • Ele explicou que a verificação de idade em redes sociais e a checagem de antecedentes corporativos têm finalidades diferentes
  • Song enfatizou que a Persona oferece soluções de KYC (Know Your Customer) e AML (Anti-Money Laundering), mas não vincula biometria facial a registros financeiros ou bancos de dados de aplicação da lei

Polêmica e ataques pessoais online ao CEO

  • Depois que a pesquisadora ‘Celeste’ sugeriu uma ligação entre Persona, Palantir e ICE, Song revelou ter recebido ameaças e críticas
    • Por meio de uma captura de tela de e-mail, ele rebateu dizendo: “nossa empresa não tem qualquer relação com ICE ou Palantir”
    • Também mencionou que parte das críticas está sendo direcionada a funcionários iniciantes, e que a responsabilidade é dele
  • Também houve ataques pessoais por Song não ter foto no perfil do LinkedIn
    • Em resposta, Song afirmou que “verificação com nome real não significa expor o rosto” e que proteger a privacidade é importante

Continua a controvérsia sobre a confiabilidade de segurança do Discord

  • O encerramento do contrato com a Persona reacendeu a desconfiança sobre a estrutura de segurança e privacidade do Discord
    • Com problemas sucessivos envolvendo serviços de terceiros, a transparência na gestão dos dados dos usuários virou um ponto central da discussão
  • O Discord voltou a enfatizar que “coleta apenas a idade do usuário, e a identidade não é vinculada à conta
    • No entanto, como explicações anteriores no FAQ divergiam sobre o período de retenção, permanece a polêmica sobre a consistência da política

Leituras relacionadas

1 comentários

 
GN⁺ 2026-02-25
Opiniões do Hacker News

  • Há uma análise baseada no código frontend da Persona aqui
    Recomendo fortemente ler este material original antes de tirar conclusões. Matérias secundárias muitas vezes têm baixa qualidade

    • A resposta oficial da equipe de segurança da Persona está aqui, e a discussão do Rick no Twitter também pode ser vista aqui
    • Este texto foi enviado há 6 dias, mas foi marcado. Vale a pena reavaliá-lo
    • Eu li o texto e, como estou no setor de fintech há muito tempo, não concordo com a maioria das preocupações
      Ainda assim, a parte em que os períodos de retenção de dados são descritos de forma diferente me preocupa um pouco. O restante é comum no setor de KYC/AML
    • O texto de acompanhamento está aqui
    • O texto era bom, mas o site é tão caótico que meus olhos e ouvidos doeram. Gostaria que melhorassem a legibilidade

  • Ainda não estou convencido
    Uma certa pessoa comprou enorme influência por meio de lobistas, e como resultado os super-ricos estão deteriorando a sociedade como um todo
    Também não acho que a resposta do Discord desta vez seja sincera. Eles só estão fingindo conter os danos porque se assustaram com a reação dos usuários; o objetivo desde o início era a vigilância

    • Evitar dizer o nome da pessoa de propósito acaba parecendo infantil e só embaralha a discussão
    • A ponto de provocar reações como “Ele é o Voldemort, por acaso?”
    • O verdadeiro problema do Discord é o IPO que se aproxima. Para provar valor aos investidores, no fim eles terão de transformar dados e mensagens dos usuários em ativos
    • Antes eu me preocupava com a vigilância do governo; agora as big techs estão ocupando esse lugar

  • O dia em que romperem relações com pessoas como Peter Thiel, da Palantir, será um bom dia para toda a sociedade

    • Acho que organizações assim deveriam até ser classificadas como grupos proibidos

  • Texto relacionado: Informações entregues na verificação de identidade do LinkedIn

  • O dano à confiança já é irreversível
    As comunidades de Discord das quais faço parte ainda continuam lá, mas depois disso não pretendo entrar em nenhuma nova

    • Fico me perguntando como o Discord conseguiu crescer tanto. O problema foi migrarem para lá dizendo que era uma alternativa ao Slack
      Assim como o Slack, há problemas de monopólio de dados e plataforma fechada, e as pessoas caíram nessa de novo
    • Por outro lado, se este caso acabar servindo como exemplo de por que empresas como a Persona devem ser vistas com desconfiança, já será algo positivo
    • Fiz backup do servidor que administro e, se me pedirem verificação de idade, vou apagar tudo na hora
    • Na verdade, o Discord já vem perdendo confiança há anos. Queda na qualidade do cliente, introdução de anúncios e outros sinais clássicos de enshittification
      Esta polêmica da verificação é só mais uma etapa dessa decadência
    • O Discord é um câncer do open web
      Chat em tempo real é ótimo, mas foi um desastre comunidades e wikis terem migrado para plataformas fechadas
      Em vez de procurar alternativas parecidas, deveríamos voltar a fóruns abertos e wikis

  • Fico confuso se o Discord retirou a exigência de verificação facial ou se apenas deixou de usar a Persona

    • A verificação ainda é terceirizada para um fornecedor externo. Só trocaram a Persona por outra empresa
      Para referência, a verificação só é necessária para alguns recursos, como entrar em servidores adultos ou desativar filtros de conteúdo
    • O Discord originalmente queria usar a k-ID, que faz processamento no dispositivo
      Mas ao mesmo tempo estava testando a Persona, e a Persona perdeu a confiança porque armazenava dados
      Além disso, tanto a Persona quanto a 5CA passaram por incidentes de segurança. Por isso, a mudança parece ter sido cancelada
    • O Discord não cancelou o plano; só disse que não usará a Persona em algumas regiões
      Segundo o resumo e pedido de desculpas do blog oficial
      o rollout global foi adiado, e eles pretendem adicionar recursos que reduzam a necessidade de verificação, como canais de spoiler

  • A Persona publicou um relatório pós-incidente sobre este caso
    Link

    • Chamar “exposição de source map” de algo ‘catastrófico (CATASTROPHIC)’ é exagerado
      Código frontend já é público por natureza, e em produção basta minimizá-lo (minify)

  • Pesquisadores encontraram 2.500 arquivos em endpoints aprovados pelo governo, e havia registros de que a Persona fazia reconhecimento facial e comparação com listas de vigilância de políticos
    É chocante que esse tipo de informação estivesse exposta sem qualquer invasão
    Quando empresas dizem que “a privacidade do usuário é prioridade máxima”, isso agora soa como um slogan vazio
    É irônico o CEO dizer que “mostrar o rosto online é distópico” enquanto, ao mesmo tempo, faz os usuários enviarem o próprio rosto

    • Aquela última citação foi realmente engraçada. É difícil acreditar que alguém que age assim todos os dias diga uma coisa dessas

  • Agora o nome Persona está se tornando uma marca tóxica

    • Fica até difícil saber se isso se refere ao Discord ou ao Thiel

  • O Discord disse que “armazena por apenas 7 dias”, mas, se for enviado para a Persona nesse período, depois disso ninguém sabe o que acontece

    • Antes diziam “apagamos imediatamente”, e agora são 7 dias; não faço ideia de como poderiam se recuperar de um colapso de confiança assim