- Hackers afirmam ter invadido a Persona, parceira de verificação de idade da Discord, para entender como usam biometria enviada durante o processo de verificação.
- Pesquisadores dizem que a segurança do front-end da Persona é fraca e que os dados biométricos podem ser usados para detectar comportamentos suspeitos e integrar listas de watchlist.
- A Persona recebeu 150 milhões de dólares em 2021, com participação do Founders Fund, ligado a Peter Thiel; não há ligação formal comprovada com Palantir ou Discord, mas os dados parecem seguir caminhos semelhantes.
- A Persona confirmou a violação e o CEO Rick Song agradeceu aos hackers por sinalizar a falha de segurança, mantendo dúvidas sobre como os dados são usados.
- A Discord afirmou que o teste com a Persona foi temporário e que os dados de usuários são apagados em até sete dias; consumidores migraram para alternativas como TeamSpeak.
Discord volta a ser tema de debate após revelação sobre parceiro de verificação de idade
Hackers teriam conseguido acesso a dados coletados por Persona, serviço de verificação de idade utilizado pela plataforma. Segundo os pesquisadores, a brecha expôs como a empresa trata biometria e informações pessoais, elevando preocupações sobre privacidade.
Ação ocorreu após usuários do Discord relatarem solicitações de dados pessoais para a Persona, serviço terceirizado de verificação de idade. A falha de segurança anterior da empresa já havia sido alvo de críticas, com questionamentos sobre o alcance da atualização de verificação.
Quem está envolvido e o que foi descoberto
Trio de hacktivistas, incluindo o pesquisador de cibersegurança conhecido como vmfunc, afirma ter penetrado na camada de segurança da Persona. Os relatos apontam que biometria e rostos registrados eram processados não apenas para confirmar idade, mas também para marcar comportamentos suspeitos e consultar listas de vigilância.
Em mensagem pública, vmfunc descreveu a investigação como um mergulho que revelou como sistemas comerciais de IA e operações governamentais podem compartilhar dados de usuários. As descobertas sugerem que o uso de dados vai além da verificação de idade, abrindo questões sobre vigilância e finalidade de uso.
A resposta da Persona e do Discord
A Persona confirmou a violação e informou ter mantido contato com os invasores, agradecendo pela sinalização de falha de segurança. A empresa afirmou que está avaliando contratos que poderiam tornar públicos alguns acordos, mas garantiu que tais iniciativas seriam voltadas à segurança de contas de funcionários governamentais, sem envolvimento com ICE ou órgãos do DHS.
O Discord afirmou que a colaboração com a Persona foi temporária e que não há novos contatos com a empresa. A plataforma ressaltou que os dados coletados seriam apagados dos servidores dentro de sete dias após a coleta, sem esclarecer como usados no período.
Implicações e cenário
A divulgação reacende dúvidas sobre a veracidade e a finalidade da verificação de idade global promovida pela plataforma. O caso também vem num momento em que usuários migraram para alternativas de comunicação, como TeamSpeak, em função das preocupações com privacidade e segurança.
As informações indicam que a brecha ocorreu durante um processo de verificação que envolve dados biométricos. A MMO de segurança pública e a ausência de clareza sobre o manejo desses dados mantêm o tema sob escrutínio, com impacto potencial na confiança dos usuários.
Entre na conversa da comunidade