Discord ने पहचान सत्यापन सॉफ़्टवेयर ‘Persona’ के साथ अनुबंध समाप्त किया

 (fortune.com)
2 पॉइंट द्वारा GN⁺ 2026-02-25 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Persona का कोड अमेरिकी सरकारी निगरानी सिस्टम में मिलने के बाद Discord ने सहयोग रोक दिया
  • Persona का उपयोग X, OpenAI, Linkedin, Figma, Reddit आदि में पहचान सत्यापन और आयु सत्यापन के लिए किया जा रहा है
  • मिले हुए कोड में फेशियल रिकग्निशन, राजनीतिक रूप से उजागर व्यक्तियों की निगरानी, और आतंकवाद-संबंधी सत्यापन जैसी सुविधाएँ शामिल थीं
  • Persona केवल उपयोगकर्ताओं की उम्र की पुष्टि ही नहीं करता, बल्कि 269 प्रकार की सत्यापन प्रक्रियाएँ भी चलाता है और जोखिम व समानता स्कोर देता है
  • Discord ने बताया कि यह सहयोग 1 महीने से कम की टेस्ट रन था, और जमा की गई जानकारी अधिकतम 7 दिन तक रखकर हटा दी जाती है

Discord और Persona की साझेदारी का अंत

  • Discord ने Persona Identities के कोड के सार्वजनिक इंटरनेट और अमेरिकी सरकारी सर्वरों पर मिलने के बाद साझेदारी समाप्त कर दी
    • शोधकर्ताओं ने बताया कि लगभग 2,500 फाइलें अमेरिकी सरकार द्वारा स्वीकृत endpoint पर एक्सेस की जा सकती थीं
    • इस कोड में निगरानी सूची मिलान, राजनीतिक रूप से उजागर व्यक्तियों का सत्यापन, और आतंकवाद व जासूसी से जुड़ी मीडिया स्क्रीनिंग जैसी सुविधाएँ थीं
  • Persona आयु सत्यापन के अलावा 269 अलग-अलग सत्यापन प्रक्रियाएँ चलाता है और 14 श्रेणियों के ‘नकारात्मक मीडिया’ आइटम की जाँच करता है
    • हर उपयोगकर्ता की जानकारी को risk और similarity score देने वाली संरचना
  • शोधकर्ताओं ने कहा, “हमें exploit code की एक भी लाइन लिखने की ज़रूरत नहीं पड़ी,” और बताया कि 53MB का डेटा FedRAMP सरकारी endpoint पर मिला
    • उस डेटा में मौजूदा खुफिया एजेंसी प्रोग्रामों के codename tags शामिल थे

Discord की प्रतिक्रिया और गोपनीयता नीति

  • Discord ने पुष्टि की कि Persona के साथ उसका सहयोग 1 महीने से कम का एक परीक्षणात्मक partnership था
    • इसमें केवल कुछ उपयोगकर्ता शामिल थे, और जमा की गई जानकारी अधिकतम 7 दिनों तक रखकर हटा दी जाती है
  • Discord पहले भी third-party services की सुरक्षा समस्याओं को लेकर आलोचना झेल चुका है
    • 2025 में 5CA service hack के कारण 70,000 से अधिक उपयोगकर्ताओं की सरकारी ID लीक हो गई थी
    • लीक हुए डेटा में IP addresses, कुछ payment details, और corporate data शामिल थे
  • हाल ही में Discord ने ‘teen-by-default’ सेटिंग को दुनिया भर के accounts पर लागू किया, लेकिन उपयोगकर्ताओं के विरोध के बाद age verification को optional कर दिया
    • अधिकांश उपयोगकर्ता सरकारी ID की जगह video selfie से सत्यापन कर सकते हैं
    • Discord ने स्पष्ट किया कि “face scan केवल डिवाइस पर ही process होता है और सर्वर पर भेजा नहीं जाता”

Persona का पक्ष और सफाई

  • Persona के CEO Rick Song ने दावा किया कि मिले हुए files security vulnerability नहीं बल्कि public frontend information थे
    • उन्होंने कहा, “यह सिर्फ uncompressed sourcemap files के public होने का मामला है,” और समझाया कि यह वही code है जो पहले से सभी उपयोगकर्ताओं के devices पर मौजूद होता है
    • हालांकि उन्होंने माना कि “uncompressed files का online होना वांछनीय नहीं है”
  • Song ने कहा कि Persona का Palantir, ICE, या सरकारी एजेंसियों से कोई संबंध नहीं है, और कंपनी अभी FedRAMP certification process में है
    • इस certification का उद्देश्य कर्मचारी पहचान सत्यापन के लिए security service प्रदान करना है
  • Persona के 269 verification items client-selectable options हैं, और सभी items हर मामले में इस्तेमाल नहीं होते
    • उन्होंने कहा कि social media पर age verification और enterprise background checks के उद्देश्य अलग हैं
  • Song ने ज़ोर देकर कहा कि Persona KYC (Know Your Customer) और AML (Anti-Money Laundering) solutions देता है, लेकिन चेहरे के biometric data को financial records या law-enforcement databases से नहीं जोड़ता

विवाद और CEO पर ऑनलाइन निजी हमले

  • शोधकर्ता ‘Celeste’ ने Persona, Palantir और ICE के बीच संबंध का संकेत दिया, जिसके बाद Song ने कहा कि उन्हें धमकियाँ और सार्वजनिक आलोचना झेलनी पड़ी
    • उन्होंने email screenshot के ज़रिए कहा, “हमारी कंपनी का ICE या Palantir से कोई संबंध नहीं है”
    • उन्होंने यह भी कहा कि कुछ आलोचनाएँ नए कर्मचारियों की ओर मुड़ रही हैं, जबकि ज़िम्मेदारी उनकी है
  • Song की LinkedIn profile पर फोटो न होने को लेकर भी निजी हमले हुए
    • इसके जवाब में Song ने कहा, “real-name verification का मतलब चेहरा सार्वजनिक करना नहीं है,” और privacy की रक्षा के महत्व पर ज़ोर दिया

Discord की सुरक्षा विश्वसनीयता पर विवाद जारी

  • Persona के साथ अनुबंध समाप्त होने से Discord की security और privacy protection व्यवस्था पर अविश्वास फिर उभर आया
    • लगातार third-party service समस्याओं के कारण उपयोगकर्ता डेटा प्रबंधन की पारदर्शिता एक बड़ा मुद्दा बन गई है
  • Discord ने फिर दोहराया कि “हम केवल उपयोगकर्ता की आयु एकत्र करते हैं, और पहचान को account से नहीं जोड़ा जाता
    • लेकिन पुराने FAQ में retention period को लेकर अलग-अलग विवरण होने से policy consistency पर सवाल बने हुए हैं

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-02-25
Hacker News की राय

  • Persona के frontend codebase का विश्लेषण करने वाला लेख यहाँ है
    निष्कर्ष पर पहुँचने से पहले इस मूल सामग्री को ज़रूर पढ़ें। द्वितीयक रिपोर्टें अक्सर कम गुणवत्ता वाली होती हैं

    • Persona security team की आधिकारिक प्रतिक्रिया यहाँ है, और Rick की Twitter चर्चा भी यहाँ देखी जा सकती है
    • यह लेख 6 दिन पहले submit किया गया था, लेकिन flag कर दिया गया था। इसे फिर से देखने लायक है
    • मैंने लेख पढ़ा, और fintech industry में लंबे समय से होने के कारण अधिकांश चिंताओं से सहमत नहीं हूँ
      लेकिन data retention period को अलग-अलग तरीके से बताने वाला हिस्सा थोड़ा चिंताजनक लगा। बाकी सब KYC/AML industry में आम बात है
    • follow-up लेख यहाँ है
    • लेख अच्छा था, लेकिन साइट इतनी बिखरी हुई थी कि आँखों और कानों को तकलीफ़ हुई। readability थोड़ी बेहतर होनी चाहिए

  • मुझे अब भी यक़ीन नहीं है
    एक खास व्यक्ति ने lobbyist के ज़रिए बहुत बड़ा प्रभाव खरीद लिया, और उसके नतीजे में अति-धनवान लोग पूरे समाज को और बदतर बना रहे हैं
    Discord की यह प्रतिक्रिया भी मुझे ईमानदार नहीं लगती। यह सिर्फ़ user backlash से घबराकर नुकसान नियंत्रण करने की कोशिश है; असली उद्देश्य शुरू से ही निगरानी था

    • किसी का नाम जानबूझकर न लेना उल्टा बचकाना लगता है और मुद्दे को धुंधला करता है
    • इतनी हद तक कि लोगों की प्रतिक्रिया है, “क्या वह Voldemort है?”
    • Discord की असली समस्या आने वाला IPO है। निवेशकों को value साबित करने के लिए अंततः user data और messages का monetization करना ही पड़ेगा
    • पहले सरकार की निगरानी की चिंता होती थी, अब big tech कंपनियाँ वही जगह ले रही हैं

  • Palantir के Peter Thiel जैसे लोगों से रिश्ता तोड़ने का दिन पूरे समाज के लिए अच्छा दिन होगा

    • मुझे लगता है ऐसी संस्थाओं को सीधे प्रतिबंधित संगठन घोषित कर देना चाहिए

  • संबंधित पोस्ट: LinkedIn identity verification के लिए दी गई जानकारी

  • भरोसे को हुआ नुकसान अब वापस नहीं हो सकता
    जिन Discord communities में मैं हूँ वे अभी भी बनी हुई हैं, लेकिन इस घटना के बाद मैं किसी नई community में शामिल होने का नहीं सोच रहा

    • हैरानी होती है कि Discord इतना बड़ा कैसे हो गया। Slack का विकल्प कहकर लोग वहाँ चले गए, यही समस्या थी
      Slack की तरह इसमें भी data monopoly और बंदपन की समस्या है, और लोग फिर से फँस गए
    • अगर यह घटना कम से कम Persona जैसी कंपनियों से सावधान रहने का उदाहरण बन जाए, तो वही अच्छी बात होगी
    • मैंने अपना चल रहा server backup कर लिया है, और अगर मुझसे age verification माँगी गई तो मैं तुरंत delete कर दूँगा
    • सच कहें तो Discord कई सालों से भरोसा खो रहा था। client quality में गिरावट, ads की शुरुआत आदि, यह enshittification का एक典型 उदाहरण है
      यह verification विवाद उस गिरावट का बस एक और चरण है
    • Discord open internet का कैंसर है
      real-time chat अच्छी चीज़ है, लेकिन communities और wiki का बंद platforms पर चले जाना एक आपदा था
      वैसा ही कोई और विकल्प खोजने के बजाय हमें open forums और wiki की ओर लौटना चाहिए

  • यह बात उलझन वाली है कि Discord ने face verification की माँग वापस ली है, या सिर्फ़ Persona का उपयोग बंद किया है

    • verification अब भी किसी बाहरी vendor को आउटसोर्स की जाती है। बस Persona की जगह कोई दूसरी company आ गई है
      संदर्भ के लिए, verification सिर्फ़ कुछ features के लिए चाहिए, जैसे adult server में भाग लेना या content filter हटाना
    • Discord मूल रूप से k-ID नाम की on-device processing company का उपयोग करना चाहता था
      लेकिन साथ ही वह Persona को भी test कर रहा था, और Persona data store करती थी, इसलिए उसने भरोसा खो दिया
      ऊपर से Persona और 5CA, दोनों ने security incident झेले। शायद इसी वजह से switch रद्द कर दिया गया
    • Discord ने योजना वापस नहीं ली, सिर्फ़ कुछ क्षेत्रों में Persona का उपयोग न करने की बात कही है
      आधिकारिक ब्लॉग की summary और apology के अनुसार
      global rollout में देरी होगी, और verification की ज़रूरत कम करने वाले features (जैसे spoiler channels) जोड़े जाएँगे

  • Persona ने इस घटना पर postmortem report प्रकाशित की है
    लिंक

    • “source map exposure” को ‘विनाशकारी (CATASTROPHIC)’ कहना बढ़ा-चढ़ाकर कहना है
      frontend code तो मूल रूप से सार्वजनिक ही होता है, और production में सिर्फ़ minify करना काफ़ी होता है

  • शोधकर्ताओं ने सरकार-अनुमोदित endpoint पर 2,500 files पाईं, जिनमें Persona द्वारा face recognition और politicians watchlist matching किए जाने के रिकॉर्ड थे
    यह चौंकाने वाला है कि ऐसी जानकारी बिना किसी hacking के सार्वजनिक पड़ी थी
    कंपनियों का “user privacy हमारी सर्वोच्च प्राथमिकता है” कहना अब खोखला नारा लगता है
    CEO का यह कहना कि “ऑनलाइन अपना चेहरा दिखाना dystopian है”, जबकि वही users से चेहरा submit करवाते हैं, बहुत विडंबनापूर्ण है

    • वह आख़िरी quotation सच में बहुत मज़ेदार था। हर दिन वैसा व्यवहार करके ऐसी बात कहना अविश्वसनीय है

  • अब Persona नाम toxic brand बनता जा रहा है

    • इतना कि समझना मुश्किल हो जाता है कि बात Discord की हो रही है या Thiel की

  • Discord ने कहा था “सिर्फ़ 7 दिन के लिए store करेंगे”, लेकिन उस दौरान अगर data Persona को भेजा गया तो उसके बाद क्या होगा, यह कोई नहीं जानता

    • पहले कहा गया था “तुरंत delete करेंगे”, और अब 7 दिन? इस तरह के trust collapse से वापसी कैसे होगी, समझ नहीं आता