Discord beendet Vertrag mit der Identitätsprüfungssoftware „Persona“

 (fortune.com)
2 Punkte von GN⁺ 2026-02-25 | 1 Kommentare | Auf WhatsApp teilen
  • Der Code von Persona wurde in einem Überwachungssystem der US-Regierung gefunden, woraufhin Discord die Zusammenarbeit beendete
  • Persona wird bei X, OpenAI, LinkedIn, Figma, Reddit und weiteren Diensten für Identitätsprüfung und Altersverifikation eingesetzt
  • Der entdeckte Code enthielt Funktionen für Gesichtserkennung, Überwachung politisch exponierter Personen und terrorbezogene Prüfungen
  • Persona führte neben der Altersprüfung 269 Arten von Verifizierungsverfahren aus und vergab Risiko- und Ähnlichkeitswerte
  • Discord erklärte, die Zusammenarbeit habe nur einen Testbetrieb von weniger als einem Monat umfasst; eingereichte Informationen würden höchstens sieben Tage gespeichert und dann gelöscht

Ende der Zusammenarbeit zwischen Discord und Persona

  • Discord beendete die Partnerschaft, nachdem Code von Persona Identities im offenen Internet und auf Servern der US-Regierung entdeckt worden war
    • Forschende berichteten, dass rund 2.500 Dateien über von der US-Regierung genehmigte Endpunkte zugänglich gewesen seien
    • Der Code enthielt Funktionen zum Abgleich mit Überwachungslisten, zur Prüfung politisch exponierter Personen sowie zum Medienscreening in Bezug auf Terrorismus und Spionage
  • Persona führte zusätzlich zur Altersprüfung 269 einzelne Verifizierungsverfahren durch und prüfte 14 Kategorien von „negativen Medien“
    • Dabei wurden den Daten jedes Nutzers Risiko- und Ähnlichkeitswerte zugewiesen
  • Die Forschenden erklärten, sie hätten „keine einzige Zeile Exploit-Code schreiben müssen“, und erwähnten, dass 53 MB an Daten auf einem FedRAMP-Regierungsendpunkt gefunden worden seien
    • Diese Daten enthielten Codename-Tags laufender Geheimdienstprogramme
Anzeige

Reaktion von Discord und Datenschutzrichtlinien

  • Discord bestätigte, dass die Zusammenarbeit mit Persona eine experimentelle Partnerschaft von weniger als einem Monat gewesen sei
    • Nur ein Teil der Nutzer habe daran teilgenommen; eingereichte Informationen würden maximal sieben Tage gespeichert und dann gelöscht
  • Discord war bereits zuvor wegen Sicherheitsproblemen bei Drittanbieterdiensten kritisiert worden
    • 2025 wurden beim Hack des 5CA-Dienstes die staatlichen Ausweisdaten von mehr als 70.000 Nutzern offengelegt
    • Zu den geleakten Informationen gehörten IP-Adressen sowie einige Zahlungs- und Unternehmensdaten
  • Kürzlich führte Discord die Einstellung „teen-by-default“ für Konten weltweit ein, änderte die Altersverifikation nach Gegenreaktionen der Nutzer jedoch zu einer optionalen Funktion
    • Die meisten Nutzer können sich statt mit einem amtlichen Ausweis per Video-Selfie verifizieren
    • Discord stellte klar: „Gesichtsscans werden nur auf dem Gerät verarbeitet und nicht an Server übertragen.“

Stellungnahme und Einordnung von Persona

  • Persona-CEO Rick Song behauptete, die entdeckten Dateien seien keine Sicherheitslücke, sondern öffentlich zugängliche Frontend-Informationen
    • Er erklärte, es handle sich lediglich um nicht minimierte Source-Map-Dateien, also um Code, der bereits auf den Geräten aller Nutzer vorhanden sei
    • Zugleich räumte er ein, dass es „nicht wünschenswert ist, wenn nicht minimierte Dateien online stehen
    Anzeige
  • Song bestritt, dass Persona Beziehungen zu Palantir, ICE oder Regierungsbehörden habe, und erklärte, das Unternehmen befinde sich derzeit im FedRAMP-Zertifizierungsprozess
    • Ziel der Zertifizierung sei die Bereitstellung von Sicherheitsdiensten zur Verifizierung der Identität von Mitarbeitenden
  • Die 269 Prüfposten von Persona seien vom Kunden auswählbare Optionen; nicht alle würden immer verwendet
    • Der Zweck von Altersverifikation in sozialen Medien unterscheide sich von Hintergrundprüfungen in Unternehmen
  • Song betonte, Persona biete zwar KYC- (Know Your Customer) und AML-Lösungen (Anti-Money Laundering) an, verknüpfe biometrische Gesichtsdaten jedoch nicht mit Finanzunterlagen oder Datenbanken von Strafverfolgungsbehörden

Kontroverse und Online-Angriffe auf den CEO

  • Nachdem die Forscherin „Celeste“ eine Verbindung zwischen Persona, Palantir und ICE angedeutet hatte, erklärte Song öffentlich, er sei bedroht und beschimpft worden
    • Mit Screenshots von E-Mails wies er die Vorwürfe zurück: „Unser Unternehmen hat keinerlei Beziehung zu ICE oder Palantir.
    • Er sagte außerdem, ein Teil der Kritik richte sich gegen neue Mitarbeitende, obwohl die Verantwortung bei ihm liege
    Anzeige
  • Es folgten persönliche Angriffe, weil auf Songs LinkedIn-Profil kein Foto zu sehen ist
    • Song entgegnete darauf: „Verifikation mit echtem Namen bedeutet nicht, das eigene Gesicht öffentlich zu zeigen“, und betonte die Bedeutung des Schutzes der Privatsphäre

Anhaltende Debatte um Discords Sicherheitsvertrauen

  • Das Ende des Vertrags mit Persona entfachte erneut Misstrauen gegenüber Discords Sicherheits- und Datenschutzsystemen
    • Nach wiederholten Problemen mit Drittanbieterdiensten wurde die Transparenz beim Umgang mit Nutzerdaten zum zentralen Streitpunkt
  • Discord betonte erneut: „Es wird nur das Alter der Nutzer erfasst, ihre Identität wird nicht mit dem Konto verknüpft.
    • Allerdings bleiben wegen abweichender Erklärungen in früheren FAQ Fragen zur Konsistenz der Richtlinien bestehen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-02-25
Hacker-News-Kommentare

  • Eine Analyse auf Basis des Persona-Frontend-Codes gibt es hier.
    Ich würde dringend empfehlen, vor einem Urteil dieses Originalmaterial zu lesen. Sekundärberichte sind oft von schlechter Qualität.

    • Die offizielle Stellungnahme von Personas Security-Team steht hier, und Ricks Diskussion auf Twitter gibt es hier.
    • Dieser Beitrag wurde vor 6 Tagen eingereicht, aber geflaggt. Es lohnt sich, ihn noch einmal anzuschauen.
    • Ich habe den Artikel gelesen, und da ich schon lange in der Fintech-Branche bin, teile ich die meisten Bedenken nicht.
      Etwas besorgniserregend finde ich nur die unterschiedlich angegebenen Datenaufbewahrungsfristen. Der Rest ist in der KYC/AML-Branche üblich.
    • Einen Folgebeitrag gibt es hier.
    • Der Artikel war gut, aber die Website war so unruhig, dass mir Augen und Ohren wehtaten. Ich wünschte, die Lesbarkeit würde verbessert.

  • Ich bin weiterhin nicht überzeugt.
    Eine bestimmte Person hat sich über Lobbyisten enormen Einfluss erkauft, und infolgedessen verschlechtern Superreiche die Gesellschaft insgesamt.
    Ich halte auch die jetzige Reaktion von Discord nicht für aufrichtig. Sie tun nur so, als würden sie aufräumen, weil sie von der Gegenreaktion der Nutzer überrascht wurden; das eigentliche Ziel war von Anfang an Überwachung.

    • Die Haltung, den Namen der Person absichtlich nicht zu nennen, wirkt eher kindisch und verwässert den Punkt.
    • Es ist schon so übertrieben, dass Reaktionen wie „Ist er etwa Voldemort?“ aufkommen.
    • Das eigentliche Problem bei Discord ist der bevorstehende IPO. Um Investoren Wert zu beweisen, müssen sie am Ende Nutzerdaten und Nachrichten zu Vermögenswerten machen.
    • Früher machte man sich Sorgen über staatliche Überwachung, jetzt übernehmen Big-Tech-Unternehmen diese Rolle.

  • Der Tag, an dem Beziehungen zu Leuten wie Peter Thiel von Palantir gekappt werden, ist ein guter Tag für die ganze Gesellschaft.

    • Ich finde, solche Organisationen sollten gleich als verbotene Organisationen eingestuft werden.

  • Verwandter Beitrag: Informationen, die ich bei der LinkedIn-Identitätsprüfung abgegeben habe

  • Der Vertrauensverlust ist bereits irreversibel.
    Die Discord-Communities, in denen ich bin, existieren noch, aber nach dieser Sache habe ich nicht vor, irgendwo neu beizutreten.

    • Ich frage mich, wie Discord überhaupt so groß werden konnte. Dass Leute mit dem Argument gewechselt sind, es sei eine Alternative zu Slack, war das Problem.
      Wie Slack hat es Probleme mit Datenmonopolisierung und Geschlossenheit, und die Leute sind schon wieder darauf hereingefallen.
    • Wenn dieser Vorfall wenigstens als Beispiel dafür bleibt, dass man vor Firmen wie Persona auf der Hut sein sollte, wäre das immerhin etwas Gutes.
    • Ich habe den von mir betriebenen Server gesichert, und wenn von mir eine Altersverifikation verlangt wird, lösche ich ihn sofort.
    • Tatsächlich hat Discord schon seit Jahren Vertrauen verspielt. Schlechter werdende Client-Qualität, Einführung von Werbung und andere typische Formen der enshittification.
      Die aktuelle Kontroverse um die Verifikation ist nur eine weitere Stufe dieses Niedergangs.
    • Discord ist ein Krebsgeschwür des offenen Internets.
      Echtzeit-Chat ist gut, aber dass Communities und Wikis auf geschlossene Plattformen umgezogen sind, war eine Katastrophe.
      Statt nach ähnlichen Alternativen zu suchen, sollten wir zu offenen Foren und Wikis zurückkehren.

  • Ich bin unsicher, ob Discord die Forderung nach Gesichtsverifikation zurückgezogen hat oder nur die Nutzung von Persona eingestellt wurde.

    • Die Verifikation wird weiterhin an externe Anbieter ausgelagert. Es wurde nur von Persona auf ein anderes Unternehmen gewechselt.
      Zur Einordnung: Verifikation ist nur für einige Funktionen nötig, etwa die Teilnahme an Erwachsenen-Servern oder das Aufheben von Inhaltsfiltern.
    • Discord wollte ursprünglich einen Anbieter namens k-ID nutzen, der alles on-device verarbeitet.
      Gleichzeitig testete man aber auch Persona, und Persona verlor das Vertrauen, weil dort Daten gespeichert wurden.
      Außerdem hatten sowohl Persona als auch 5CA Sicherheitsvorfälle. Aus diesen Gründen scheint der Wechsel abgesagt worden zu sein.
    • Discord hat den Plan nicht zurückgezogen, sondern nur gesagt, dass Persona in einigen Regionen nicht verwendet wird.
      Laut der offiziellen Zusammenfassung und Entschuldigung im Blog
      wird der globale Rollout verschoben, und es sollen Funktionen hinzugefügt werden, die die Notwendigkeit einer Verifikation reduzieren, etwa Spoiler-Kanäle.

  • Persona hat einen Post-Mortem-Bericht zu diesem Vorfall veröffentlicht.
    Link

    • Die Bezeichnung der „Source-Map-Exposition“ als „katastrophal (CATASTROPHIC)“ ist übertrieben.
      Frontend-Code ist ohnehin öffentlich, und in Produktion reicht es, ihn zu minimieren (minify).

  • Forschende fanden 2.500 Dateien an einem von der Regierung genehmigten Endpunkt, darunter Aufzeichnungen darüber, dass Persona Gesichtserkennung und Abgleiche mit Überwachungslisten für Politiker durchgeführt hat.
    Dass solche Informationen ohne jeden Hack offen zugänglich waren, ist schockierend.
    Wenn Unternehmen sagen, „die Privatsphäre der Nutzer hat oberste Priorität“, klingt das inzwischen wie eine leere Floskel.
    Dass der CEO sagt, „sein Gesicht online zu zeigen ist dystopisch“, während Nutzer gleichzeitig ihr Gesicht einreichen sollen, ist ironisch.

    • Dieses letzte Zitat war wirklich komisch. Schwer zu glauben, dass jemand so etwas sagt und sich gleichzeitig jeden Tag genau so verhält.

  • Der Name Persona wird inzwischen zu einer toxischen Marke.

    • Man weiß kaum noch, ob damit Discord oder Thiel gemeint ist.

  • Discord sagte, „wir speichern nur 7 Tage“, aber sobald es in diesem Zeitraum an Persona weitergegeben wird, weiß danach niemand mehr, was passiert.

    • Früher hieß es noch „wir löschen sofort“, jetzt sind es 7 Tage — ich weiß nicht, wie man einen solchen Vertrauensbruch wieder reparieren soll.