- Persona का कोड अमेरिकी सरकारी निगरानी सिस्टम में मिलने के बाद Discord ने सहयोग रोक दिया
- Persona का उपयोग X, OpenAI, Linkedin, Figma, Reddit आदि में पहचान सत्यापन और आयु सत्यापन के लिए किया जा रहा है
- मिले हुए कोड में फेशियल रिकग्निशन, राजनीतिक रूप से उजागर व्यक्तियों की निगरानी, और आतंकवाद-संबंधी सत्यापन जैसी सुविधाएँ शामिल थीं
- Persona केवल उपयोगकर्ताओं की उम्र की पुष्टि ही नहीं करता, बल्कि 269 प्रकार की सत्यापन प्रक्रियाएँ भी चलाता है और जोखिम व समानता स्कोर देता है
- Discord ने बताया कि यह सहयोग 1 महीने से कम की टेस्ट रन था, और जमा की गई जानकारी अधिकतम 7 दिन तक रखकर हटा दी जाती है
Discord और Persona की साझेदारी का अंत
- Discord ने Persona Identities के कोड के सार्वजनिक इंटरनेट और अमेरिकी सरकारी सर्वरों पर मिलने के बाद साझेदारी समाप्त कर दी
- शोधकर्ताओं ने बताया कि लगभग 2,500 फाइलें अमेरिकी सरकार द्वारा स्वीकृत endpoint पर एक्सेस की जा सकती थीं
- इस कोड में निगरानी सूची मिलान, राजनीतिक रूप से उजागर व्यक्तियों का सत्यापन, और आतंकवाद व जासूसी से जुड़ी मीडिया स्क्रीनिंग जैसी सुविधाएँ थीं
- Persona आयु सत्यापन के अलावा 269 अलग-अलग सत्यापन प्रक्रियाएँ चलाता है और 14 श्रेणियों के ‘नकारात्मक मीडिया’ आइटम की जाँच करता है
- हर उपयोगकर्ता की जानकारी को risk और similarity score देने वाली संरचना
- शोधकर्ताओं ने कहा, “हमें exploit code की एक भी लाइन लिखने की ज़रूरत नहीं पड़ी,” और बताया कि 53MB का डेटा FedRAMP सरकारी endpoint पर मिला
- उस डेटा में मौजूदा खुफिया एजेंसी प्रोग्रामों के codename tags शामिल थे
Discord की प्रतिक्रिया और गोपनीयता नीति
- Discord ने पुष्टि की कि Persona के साथ उसका सहयोग 1 महीने से कम का एक परीक्षणात्मक partnership था
- इसमें केवल कुछ उपयोगकर्ता शामिल थे, और जमा की गई जानकारी अधिकतम 7 दिनों तक रखकर हटा दी जाती है
- Discord पहले भी third-party services की सुरक्षा समस्याओं को लेकर आलोचना झेल चुका है
- 2025 में 5CA service hack के कारण 70,000 से अधिक उपयोगकर्ताओं की सरकारी ID लीक हो गई थी
- लीक हुए डेटा में IP addresses, कुछ payment details, और corporate data शामिल थे
- हाल ही में Discord ने ‘teen-by-default’ सेटिंग को दुनिया भर के accounts पर लागू किया, लेकिन उपयोगकर्ताओं के विरोध के बाद age verification को optional कर दिया
- अधिकांश उपयोगकर्ता सरकारी ID की जगह video selfie से सत्यापन कर सकते हैं
- Discord ने स्पष्ट किया कि “face scan केवल डिवाइस पर ही process होता है और सर्वर पर भेजा नहीं जाता”
Persona का पक्ष और सफाई
- Persona के CEO Rick Song ने दावा किया कि मिले हुए files security vulnerability नहीं बल्कि public frontend information थे
- उन्होंने कहा, “यह सिर्फ uncompressed sourcemap files के public होने का मामला है,” और समझाया कि यह वही code है जो पहले से सभी उपयोगकर्ताओं के devices पर मौजूद होता है
- हालांकि उन्होंने माना कि “uncompressed files का online होना वांछनीय नहीं है”
- Song ने कहा कि Persona का Palantir, ICE, या सरकारी एजेंसियों से कोई संबंध नहीं है, और कंपनी अभी FedRAMP certification process में है
- इस certification का उद्देश्य कर्मचारी पहचान सत्यापन के लिए security service प्रदान करना है
- Persona के 269 verification items client-selectable options हैं, और सभी items हर मामले में इस्तेमाल नहीं होते
- उन्होंने कहा कि social media पर age verification और enterprise background checks के उद्देश्य अलग हैं
- Song ने ज़ोर देकर कहा कि Persona KYC (Know Your Customer) और AML (Anti-Money Laundering) solutions देता है, लेकिन चेहरे के biometric data को financial records या law-enforcement databases से नहीं जोड़ता
विवाद और CEO पर ऑनलाइन निजी हमले
- शोधकर्ता ‘Celeste’ ने Persona, Palantir और ICE के बीच संबंध का संकेत दिया, जिसके बाद Song ने कहा कि उन्हें धमकियाँ और सार्वजनिक आलोचना झेलनी पड़ी
- उन्होंने email screenshot के ज़रिए कहा, “हमारी कंपनी का ICE या Palantir से कोई संबंध नहीं है”
- उन्होंने यह भी कहा कि कुछ आलोचनाएँ नए कर्मचारियों की ओर मुड़ रही हैं, जबकि ज़िम्मेदारी उनकी है
- Song की LinkedIn profile पर फोटो न होने को लेकर भी निजी हमले हुए
- इसके जवाब में Song ने कहा, “real-name verification का मतलब चेहरा सार्वजनिक करना नहीं है,” और privacy की रक्षा के महत्व पर ज़ोर दिया
Discord की सुरक्षा विश्वसनीयता पर विवाद जारी
- Persona के साथ अनुबंध समाप्त होने से Discord की security और privacy protection व्यवस्था पर अविश्वास फिर उभर आया
- लगातार third-party service समस्याओं के कारण उपयोगकर्ता डेटा प्रबंधन की पारदर्शिता एक बड़ा मुद्दा बन गई है
- Discord ने फिर दोहराया कि “हम केवल उपयोगकर्ता की आयु एकत्र करते हैं, और पहचान को account से नहीं जोड़ा जाता”
- लेकिन पुराने FAQ में retention period को लेकर अलग-अलग विवरण होने से policy consistency पर सवाल बने हुए हैं
अभी कोई टिप्पणी नहीं है.