Discord mengakhiri kontrak dengan software verifikasi identitas ‘Persona’

 (fortune.com)
2 poin oleh GN⁺ 2026-02-25 | 1 komentar | Bagikan ke WhatsApp
  • Discord menghentikan kerja sama setelah kode milik Persona ditemukan dalam sistem pengawasan pemerintah AS
  • Persona digunakan di X, OpenAI, Linkedin, Figma, Reddit, dan lainnya untuk verifikasi identitas dan usia
  • Kode yang ditemukan mencakup fungsi pengenalan wajah, pemantauan tokoh politik, dan verifikasi terkait terorisme
  • Selain memverifikasi usia pengguna, Persona juga menjalankan 269 jenis prosedur verifikasi serta memberi skor risiko dan kemiripan
  • Discord menjelaskan bahwa kerja sama ini hanyalah uji coba kurang dari 1 bulan, dan informasi yang dikirim hanya disimpan maksimal 7 hari lalu dihapus

Berakhirnya kerja sama Discord dan Persona

  • Discord mengakhiri hubungan kerja sama setelah kode milik Persona Identities ditemukan di internet publik dan server pemerintah AS
    • Para peneliti melaporkan sekitar 2.500 file dapat diakses dari endpoint yang disetujui pemerintah AS
    • Kode tersebut mencakup fungsi pencocokan daftar subjek pengawasan, verifikasi politically exposed persons, dan screening media terkait terorisme serta spionase
  • Selain verifikasi usia, Persona juga menjalankan 269 prosedur verifikasi individual dan memeriksa 14 kategori item ‘media negatif’
    • Strukturnya memberi skor risiko dan kemiripan untuk setiap informasi pengguna
  • Para peneliti mengatakan “mereka bahkan tidak perlu menulis satu baris pun kode exploit,” dan menyebut bahwa data berukuran 53MB ditemukan di endpoint pemerintah FedRAMP
    • Data tersebut mencakup tag nama kode dari program intelijen yang masih aktif

Respons Discord dan kebijakan privasi

  • Discord mengonfirmasi bahwa kerja samanya dengan Persona adalah kemitraan uji coba kurang dari 1 bulan
    • Hanya sebagian pengguna yang ikut serta, dan informasi yang dikirim disimpan maksimal 7 hari lalu dihapus
  • Discord sebelumnya juga pernah dikritik karena masalah keamanan pada layanan pihak ketiga
    • Pada 2025, peretasan layanan 5CA membocorkan kartu identitas pemerintah milik lebih dari 70 ribu pengguna
    • Informasi yang bocor mencakup alamat IP, sebagian data pembayaran, dan data perusahaan
  • Baru-baru ini Discord menerapkan ‘teen-by-default’ ke akun di seluruh dunia, tetapi setelah penolakan pengguna, verifikasi usia diubah menjadi opsional
    • Sebagian besar pengguna dapat melakukan verifikasi dengan video selfie alih-alih kartu identitas pemerintah
    • Discord menegaskan bahwa “pemindaian wajah hanya diproses di dalam perangkat dan tidak dikirim ke server”

Posisi dan penjelasan Persona

  • CEO Persona Rick Song mengklaim file yang ditemukan bukan kerentanan keamanan, melainkan informasi frontend publik
    • Ia menjelaskan bahwa “yang terbuka hanyalah file sourcemap yang tidak dikompresi,” yaitu kode yang pada dasarnya sudah ada di perangkat semua pengguna
    • Namun, ia mengakui bahwa “tidak ideal jika file yang tidak dikompresi tersedia online”
  • Song membantah bahwa Persona memiliki hubungan dengan Palantir, ICE, maupun lembaga pemerintah, dan menyatakan saat ini sedang menjalani proses sertifikasi FedRAMP
    • Tujuan sertifikasi tersebut adalah untuk menyediakan layanan keamanan bagi verifikasi identitas karyawan
  • Menurut Song, 269 item verifikasi Persona adalah opsi yang dipilih klien, sehingga tidak semua item selalu digunakan
    • Ia menjelaskan bahwa tujuan verifikasi usia di media sosial berbeda dari pemeriksaan latar belakang perusahaan
  • Song menekankan bahwa meskipun Persona menyediakan solusi KYC dan AML, perusahaan tidak menghubungkan data biometrik wajah dengan catatan keuangan atau basis data penegakan hukum

Kontroversi dan doxing online terhadap CEO

  • Setelah peneliti ‘Celeste’ mengisyaratkan kaitan antara Persona, Palantir, dan ICE, Song mengungkap bahwa ia menerima ancaman dan kecaman
    • Melalui tangkapan layar email, ia membantah dengan mengatakan “perusahaan kami sama sekali tidak punya hubungan dengan ICE maupun Palantir”
    • Ia juga menyebut sebagian kritik mengarah ke karyawan baru, dan bahwa tanggung jawab ada padanya
  • Song terus mendapat serangan doxing karena profil LinkedIn-nya tidak memuat foto
    • Menanggapi hal itu, Song berkata bahwa “verifikasi nama asli tidak berarti harus membuka wajah,” dan menegaskan pentingnya menjaga privasi

Kontroversi kepercayaan keamanan Discord terus berlanjut

  • Pengakhiran kontrak dengan Persona kembali memicu ketidakpercayaan terhadap sistem keamanan dan perlindungan privasi Discord
    • Setelah serangkaian masalah pada layanan pihak ketiga, transparansi pengelolaan data pengguna menjadi isu utama
  • Discord kembali menegaskan bahwa “yang dikumpulkan hanya usia pengguna, dan identitas tidak dihubungkan ke akun
    • Namun, penjelasan lama di FAQ soal masa penyimpanan data berbeda, sehingga kontroversi soal konsistensi kebijakan masih tersisa

Bacaan terkait

1 komentar

 
GN⁺ 2026-02-25
Komentar Hacker News

  • Ada tulisan analisis berbasis kode frontend Persona di sini
    Sebelum menarik kesimpulan, sangat disarankan membaca materi sumber asli ini. Liputan sekunder sering kali berkualitas rendah

    • Tanggapan resmi dari tim keamanan Persona ada di sini, dan diskusi Rick di Twitter juga bisa dilihat di sini
    • Tulisan ini diajukan 6 hari lalu tetapi ditandai. Layak ditinjau ulang
    • Saya sudah membaca tulisannya, dan karena sudah lama berada di industri fintech, saya tidak sependapat dengan sebagian besar kekhawatiran yang ada
      Namun, bagian yang menyebut masa retensi data secara berbeda memang agak mengkhawatirkan. Selebihnya adalah hal yang umum di industri KYC/AML
    • Tulisan lanjutan ada di sini
    • Tulisannya bagus, tetapi situsnya terlalu berantakan sampai mata dan telinga saya sakit. Semoga keterbacaan-nya diperbaiki

  • Saya masih belum yakin
    Ada tokoh tertentu yang membeli pengaruh sangat besar lewat pelobi, dan akibatnya kaum superkaya memperburuk masyarakat secara keseluruhan
    Saya juga tidak melihat respons Discord kali ini sebagai sesuatu yang tulus. Mereka cuma kaget dengan reaksi pengguna dan berpura-pura membereskan keadaan, padahal tujuan awalnya adalah pengawasan

    • Sikap sengaja tidak menyebut nama orang justru terlihat kekanak-kanakan dan mengaburkan pokok persoalan
    • Sampai muncul reaksi seperti, “Memangnya dia Voldemort?” karena terasa berlebihan
    • Masalah sebenarnya bagi Discord adalah IPO yang akan datang. Untuk membuktikan nilai kepada investor, pada akhirnya mereka harus memonetisasi data dan pesan pengguna
    • Dulu saya khawatir soal pengawasan pemerintah, sekarang perusahaan big tech yang menggantikan posisi itu

  • Hari ketika hubungan dengan sosok seperti Peter Thiel dari Palantir diputus akan menjadi hari yang baik bagi masyarakat secara keseluruhan

    • Saya pikir organisasi seperti ini seharusnya langsung ditetapkan sebagai organisasi terlarang

  • Tulisan terkait: Informasi yang diserahkan saat verifikasi identitas LinkedIn

  • Kerusakan kepercayaan sudah tidak bisa dipulihkan
    Komunitas Discord yang saya ikuti masih ada, tetapi setelah kejadian ini saya tidak berniat bergabung ke yang baru

    • Saya penasaran bagaimana Discord bisa tumbuh sebesar ini. Berpindah ke sana dengan alasan sebagai alternatif Slack ternyata justru masalahnya
      Seperti Slack, ada masalah monopoli data dan sifat tertutup, tetapi orang-orang tertipu lagi
    • Justru akan baik jika kejadian ini menjadi contoh mengapa perusahaan seperti Persona harus diwaspadai
    • Saya sudah membackup server yang saya kelola, dan kalau saya diminta melakukan verifikasi usia, saya akan langsung menghapusnya
    • Sebenarnya Discord sudah kehilangan kepercayaan selama bertahun-tahun. Penurunan kualitas klien, masuknya iklan, dan lain-lain adalah contoh khas enshittification
      Kontroversi verifikasi ini hanyalah tahap lain dari kemunduran itu
    • Discord adalah kanker bagi internet terbuka
      Chat real-time memang bagus, tetapi perpindahan komunitas dan wiki ke platform tertutup adalah bencana
      Alih-alih mencari alternatif serupa, kita harus kembali ke forum terbuka dan wiki

  • Saya bingung apakah Discord membatalkan permintaan verifikasi wajah, atau hanya berhenti menggunakan Persona

    • Verifikasi tetap dialihdayakan ke pihak ketiga. Hanya saja bukan lagi Persona, melainkan perusahaan lain
      Sebagai catatan, verifikasi hanya dibutuhkan untuk beberapa fitur seperti bergabung ke server dewasa atau menonaktifkan filter konten
    • Discord awalnya ingin memakai k-ID, penyedia pemrosesan on-device
      Namun pada saat yang sama mereka juga menguji Persona, dan Persona kehilangan kepercayaan karena menyimpan data
      Selain itu, baik Persona maupun 5CA sama-sama pernah mengalami insiden keamanan. Tampaknya karena alasan ini transisinya dibatalkan
    • Discord bukan membatalkan rencananya, melainkan hanya tidak akan memakai Persona di beberapa wilayah
      Menurut ringkasan dan permintaan maaf di blog resmi
      rollout global ditunda, dan mereka berencana menambahkan fitur yang mengurangi kebutuhan verifikasi (misalnya kanal spoiler)

  • Persona telah menerbitkan laporan postmortem atas insiden ini
    Tautan

    • Menyebut “paparan source map” sebagai ‘katastrofik (CATASTROPHIC)’ terdengar berlebihan
      Kode frontend pada dasarnya memang bersifat publik, dan di production cukup diminify saja

  • Para peneliti menemukan 2.500 file di endpoint yang disetujui pemerintah, dan ada catatan bahwa Persona melakukan pencocokan pengenalan wajah serta daftar pemantauan politisi
    Fakta bahwa informasi seperti ini terbuka tanpa peretasan apa pun benar-benar mengejutkan
    Pernyataan perusahaan bahwa “privasi pengguna adalah prioritas utama” kini terdengar seperti slogan kosong
    Ironis ketika CEO mengatakan bahwa “menampilkan wajah di internet itu distopia”, tetapi justru meminta pengguna menyerahkan wajah mereka

    • Kutipan terakhir itu benar-benar lucu. Sulit dipercaya seseorang bisa berkata begitu sambil bertindak seperti itu setiap hari

  • Nama Persona kini mulai menjadi merek beracun

    • Sampai sulit membedakan apakah yang dimaksud itu Discord, atau Thiel

  • Discord bilang “hanya menyimpan selama 7 hari”, tetapi setelah diteruskan ke Persona selama periode itu, setelahnya tidak ada yang tahu

    • Sebelumnya mereka bilang “langsung dihapus”, sekarang menjadi 7 hari, jadi saya tidak tahu bagaimana runtuhnya kepercayaan seperti ini bisa dipulihkan