Hacker News 中文摘要

RSS订阅

Discord终止与彼得·蒂尔支持的验证软件合作 -- Discord cuts ties with Peter Thiel-backed verification software

文章摘要

Discord的身份验证软件Persona被曝前端代码公开可查,包括美国政府服务器上的近2500份文件。研究发现该软件进行269项验证检查,包括面部识别筛查政治敏感人物等,并将用户数据标记风险评分。53MB数据在政府终端公开暴露,含情报项目代号。Discord已终止与Persona合作,后者仍为OpenAI等提供服务。双方证实合作不足一月即终止。

文章总结

Discord身份验证软件数据暴露事件深度解析

知名通讯平台Discord近日陷入隐私风波,其合作的身份验证服务商Persona Identities被曝存在严重数据安全问题。研究人员在X平台披露,约2500份可访问文件暴露在美国政府授权端点上,这些文件显示Persona不仅进行面部识别比对监控名单,还会筛查政治敏感人物。

核心问题: 1. 数据暴露范围: - 研究人员在联邦风险和授权管理计划(FedRAMP)政府端点上发现53MB数据 - 文件显示Persona执行269项验证检查,包括恐怖主义、间谍活动等14类"负面媒体"筛查 - 系统会为用户信息标注风险等级和相似度评分

  1. 合作内幕:
  • Discord与Persona的合作关系仅维持不到一个月
  • 涉及少量测试用户,数据最长保留7天
  • Persona由PayPal联合创始人Peter Thiel的Founders Fund部分投资
  1. 历史问题:
  • 2025年10月,第三方客服供应商5CA遭黑客攻击导致7万用户政府ID泄露
  • 本月初Discord因强制青少年安全设置引发争议,后改为可选验证
  1. 技术争议:
  • Persona CEO称暴露的只是前端未压缩文件,非系统漏洞
  • 公司否认与Palantir、ICE或政府机构存在关联
  • 目前正在申请FedRAMP认证以开展员工背景调查业务
  1. 舆论风波:
  • 研究人员质疑验证数据存储时长与官方声明矛盾
  • CEO个人LinkedIn资料因缺乏照片遭质疑,引发关于"面部验证必要性"的辩论

现状发展: Discord已终止与Persona合作,后者仍为OpenAI、Lime和Roblox提供服务。Persona强调所有验证数据会立即删除,且不同客户所需验证层级存在差异。该事件再次引发对第三方身份验证服务商数据管理能力的质疑。

(注:文中2025年日期应为原文笔误,实际应为2023年发生事件)

评论总结

以下是评论内容的总结:

  1. 关于事件严重性的讨论
  • 有用户指出Persona公司被曝与美国监控项目有关联是新发现,应被强调 "after its code was found tied to U.S. surveillance efforts...feels important to have in the title" "im sure everyone assumed this, but its good to know it"
  1. 对Discord处理方式的质疑
  • 用户质疑Discord是否完全停止面部验证或仅终止与Persona合作 "does this mean Discord is scrapping its new face verification...or imply they're no longer using this 3rd party service"
  • 对数据存储期限声明的怀疑 "we only store it for 7 days...who knows how long they keep it"
  1. 用户信任危机
  • 多位用户表示将转向端到端加密平台或已删除账户 "We're all moving to E2E encrypted platforms" "I deleted and am not going back" "Discord just burned years of goodwill and trust"
  1. 对监控行为的批评
  • 揭露Persona进行269项验证检查,包括政治敏感人物筛查 "screening for 'adverse media'...against lists of politically exposed persons"
  • 批评企业隐私声明的虚伪性 "please, i wish companies would just stop saying this obvious lie"
  1. 对Peter Thiel的负面评价
  • 多则评论将其名字视为负面标签 ""Peter Thiel-backed" becoming a widely-recognized epithet" "it's a good day for society...cuts ties with Palentier's Peter Thiel"
  1. 技术细节讨论
  • 建议阅读原始技术分析而非二手报道 "recommend reading this primary source before drawing conclusions"
  • 指出漏洞发现源于明显疏忽 "the entire architecture was just on the doorstep...wild incompetence"
  1. 个人使用体验
  • 有用户表示未被要求面部验证 "discord has never asked more from me than a verified email address"