Discord beendet Vertrag mit der Identitätsprüfungssoftware „Persona“

 (fortune.com)
2 Punkte von GN⁺ 2026-02-25 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Der Code von Persona wurde in einem Überwachungssystem der US-Regierung gefunden, woraufhin Discord die Zusammenarbeit beendete
  • Persona wird bei X, OpenAI, LinkedIn, Figma, Reddit und weiteren Diensten für Identitätsprüfung und Altersverifikation eingesetzt
  • Der entdeckte Code enthielt Funktionen für Gesichtserkennung, Überwachung politisch exponierter Personen und terrorbezogene Prüfungen
  • Persona führte neben der Altersprüfung 269 Arten von Verifizierungsverfahren aus und vergab Risiko- und Ähnlichkeitswerte
  • Discord erklärte, die Zusammenarbeit habe nur einen Testbetrieb von weniger als einem Monat umfasst; eingereichte Informationen würden höchstens sieben Tage gespeichert und dann gelöscht

Ende der Zusammenarbeit zwischen Discord und Persona

  • Discord beendete die Partnerschaft, nachdem Code von Persona Identities im offenen Internet und auf Servern der US-Regierung entdeckt worden war
    • Forschende berichteten, dass rund 2.500 Dateien über von der US-Regierung genehmigte Endpunkte zugänglich gewesen seien
    • Der Code enthielt Funktionen zum Abgleich mit Überwachungslisten, zur Prüfung politisch exponierter Personen sowie zum Medienscreening in Bezug auf Terrorismus und Spionage
  • Persona führte zusätzlich zur Altersprüfung 269 einzelne Verifizierungsverfahren durch und prüfte 14 Kategorien von „negativen Medien“
    • Dabei wurden den Daten jedes Nutzers Risiko- und Ähnlichkeitswerte zugewiesen
  • Die Forschenden erklärten, sie hätten „keine einzige Zeile Exploit-Code schreiben müssen“, und erwähnten, dass 53 MB an Daten auf einem FedRAMP-Regierungsendpunkt gefunden worden seien
    • Diese Daten enthielten Codename-Tags laufender Geheimdienstprogramme

Reaktion von Discord und Datenschutzrichtlinien

  • Discord bestätigte, dass die Zusammenarbeit mit Persona eine experimentelle Partnerschaft von weniger als einem Monat gewesen sei
    • Nur ein Teil der Nutzer habe daran teilgenommen; eingereichte Informationen würden maximal sieben Tage gespeichert und dann gelöscht
  • Discord war bereits zuvor wegen Sicherheitsproblemen bei Drittanbieterdiensten kritisiert worden
    • 2025 wurden beim Hack des 5CA-Dienstes die staatlichen Ausweisdaten von mehr als 70.000 Nutzern offengelegt
    • Zu den geleakten Informationen gehörten IP-Adressen sowie einige Zahlungs- und Unternehmensdaten
  • Kürzlich führte Discord die Einstellung „teen-by-default“ für Konten weltweit ein, änderte die Altersverifikation nach Gegenreaktionen der Nutzer jedoch zu einer optionalen Funktion
    • Die meisten Nutzer können sich statt mit einem amtlichen Ausweis per Video-Selfie verifizieren
    • Discord stellte klar: „Gesichtsscans werden nur auf dem Gerät verarbeitet und nicht an Server übertragen.“

Stellungnahme und Einordnung von Persona

  • Persona-CEO Rick Song behauptete, die entdeckten Dateien seien keine Sicherheitslücke, sondern öffentlich zugängliche Frontend-Informationen
    • Er erklärte, es handle sich lediglich um nicht minimierte Source-Map-Dateien, also um Code, der bereits auf den Geräten aller Nutzer vorhanden sei
    • Zugleich räumte er ein, dass es „nicht wünschenswert ist, wenn nicht minimierte Dateien online stehen
  • Song bestritt, dass Persona Beziehungen zu Palantir, ICE oder Regierungsbehörden habe, und erklärte, das Unternehmen befinde sich derzeit im FedRAMP-Zertifizierungsprozess
    • Ziel der Zertifizierung sei die Bereitstellung von Sicherheitsdiensten zur Verifizierung der Identität von Mitarbeitenden
  • Die 269 Prüfposten von Persona seien vom Kunden auswählbare Optionen; nicht alle würden immer verwendet
    • Der Zweck von Altersverifikation in sozialen Medien unterscheide sich von Hintergrundprüfungen in Unternehmen
  • Song betonte, Persona biete zwar KYC- (Know Your Customer) und AML-Lösungen (Anti-Money Laundering) an, verknüpfe biometrische Gesichtsdaten jedoch nicht mit Finanzunterlagen oder Datenbanken von Strafverfolgungsbehörden

Kontroverse und Online-Angriffe auf den CEO

  • Nachdem die Forscherin „Celeste“ eine Verbindung zwischen Persona, Palantir und ICE angedeutet hatte, erklärte Song öffentlich, er sei bedroht und beschimpft worden
    • Mit Screenshots von E-Mails wies er die Vorwürfe zurück: „Unser Unternehmen hat keinerlei Beziehung zu ICE oder Palantir.
    • Er sagte außerdem, ein Teil der Kritik richte sich gegen neue Mitarbeitende, obwohl die Verantwortung bei ihm liege
  • Es folgten persönliche Angriffe, weil auf Songs LinkedIn-Profil kein Foto zu sehen ist
    • Song entgegnete darauf: „Verifikation mit echtem Namen bedeutet nicht, das eigene Gesicht öffentlich zu zeigen“, und betonte die Bedeutung des Schutzes der Privatsphäre

Anhaltende Debatte um Discords Sicherheitsvertrauen

  • Das Ende des Vertrags mit Persona entfachte erneut Misstrauen gegenüber Discords Sicherheits- und Datenschutzsystemen
    • Nach wiederholten Problemen mit Drittanbieterdiensten wurde die Transparenz beim Umgang mit Nutzerdaten zum zentralen Streitpunkt
  • Discord betonte erneut: „Es wird nur das Alter der Nutzer erfasst, ihre Identität wird nicht mit dem Konto verknüpft.
    • Allerdings bleiben wegen abweichender Erklärungen in früheren FAQ Fragen zur Konsistenz der Richtlinien bestehen

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.