Discord, kimlik doğrulama yazılımı ‘Persona’ ile sözleşmesini sonlandırdı

 (fortune.com)
2 puan yazan GN⁺ 2026-02-25 | 1 yorum | WhatsApp'ta paylaş
  • Persona kodunun ABD hükümeti gözetim sisteminde bulunmasının ardından Discord iş birliğini durdurdu
  • Persona, X, OpenAI, LinkedIn, Figma ve Reddit gibi platformlarda kimlik doğrulama ve yaş doğrulama için kullanılıyor
  • Tespit edilen kodda yüz tanıma, siyasi açıdan öne çıkan kişilerin takibi ve terörle ilgili doğrulama işlevleri yer alıyordu
  • Persona, kullanıcı yaşını doğrulamanın yanı sıra 269 tür doğrulama süreci yürütüyor ve risk ile benzerlik puanları veriyordu
  • Discord, bu iş birliğinin 1 aydan kısa süren bir deneme uygulaması olduğunu ve gönderilen bilgilerin en fazla 7 gün saklandıktan sonra silindiğini açıkladı

Discord ile Persona arasındaki iş birliğinin sona ermesi

  • Discord, Persona Identities kodunun açık internette ve ABD hükümet sunucularında bulunmasının ardından iş birliği ilişkisini sonlandırdı
    • Araştırmacılar, yaklaşık 2.500 dosyanın ABD hükümeti onaylı endpoint’lerde erişilebilir durumda olduğunu bildirdi
    • Söz konusu kodda izleme listesi karşılaştırması, siyasi açıdan öne çıkan kişi doğrulaması, terör ve casuslukla bağlantılı medya taraması işlevleri yer alıyordu
  • Persona, yaş doğrulamasının ötesinde 269 ayrı doğrulama süreci yürütüyor ve 14 kategoride ‘olumsuz medya’ maddelerini inceliyor
    • Her kullanıcı bilgisine risk ve benzerlik puanı atayan bir yapı bulunuyor
  • Araştırmacılar, “tek satır exploit kodu bile yazmaya gerek kalmadı” derken, 53 MB büyüklüğünde verinin FedRAMP hükümet endpoint’inde bulunduğunu belirtti
    • Bu verilerde halen yürürlükte olan istihbarat programlarının kod adı etiketleri de yer alıyordu

Discord’un yanıtı ve gizlilik politikası

  • Discord, Persona ile iş birliğinin 1 aydan kısa süreli deneysel bir ortaklık olduğunu doğruladı
    • Yalnızca bazı kullanıcılar katıldı ve gönderilen bilgiler en fazla 7 gün saklandıktan sonra siliniyor
  • Discord daha önce de üçüncü taraf hizmetlerin güvenlik sorunları nedeniyle eleştirilmişti
    • 2025’te 5CA hizmetinin hacklenmesi sonucu 70 binden fazla kullanıcının resmi kimlik bilgileri sızdırıldı
    • Sızan veriler arasında IP adresleri, bazı ödeme bilgileri ve kurumsal veriler de bulunuyordu
  • Kısa süre önce Discord, ‘teen-by-default’ ayarını dünya genelindeki hesaplara uyguladı ancak kullanıcı tepkisi sonrası yaş doğrulamayı isteğe bağlı hale getirdi
    • Çoğu kullanıcı, resmi kimlik yerine video selfie ile doğrulama yapabiliyor
    • Discord, “yüz taraması yalnızca cihaz üzerinde işlenir ve sunucuya gönderilmez” ifadesini kullandı

Persona’nın tutumu ve açıklamaları

  • Persona CEO’su Rick Song, bulunan dosyaların bir güvenlik açığı değil, herkese açık frontend bilgisi olduğunu savundu
    • “Ortaya çıkan şey yalnızca sıkıştırılmamış source map dosyaları” diyerek bunun zaten tüm kullanıcı cihazlarında bulunan kod olduğunu söyledi
    • Ancak “sıkıştırılmamış dosyaların çevrimiçi olması arzu edilen bir durum değil” ifadesini de kabul etti
  • Song, Persona’nın Palantir, ICE ve devlet kurumlarıyla ilişkisi olduğu iddiasını reddetti ve şu anda FedRAMP sertifikasyon sürecinden geçtiğini açıkladı
    • Sertifikasyonun amacı, çalışan kimliği doğrulaması için güvenlik hizmeti sunmak
  • Persona’nın 269 doğrulama maddesi müşteri tarafından seçilebilen seçenekler ve tüm maddeler her zaman kullanılmıyor
    • Sosyal medyadaki yaş doğrulama ile şirketlerin geçmiş araştırması amaçlarının farklı olduğunu belirtti
  • Song, Persona’nın KYC (müşterini tanı) ve AML (kara para aklamayı önleme) çözümleri sunduğunu ancak yüz biyometrisini finansal kayıtlar veya kolluk kuvveti veritabanlarıyla ilişkilendirmediğini özellikle vurguladı

Tartışma ve CEO’ya yönelik çevrimiçi hedef gösterme

  • Araştırmacı ‘Celeste’, Persona’nın Palantir ve ICE ile bağlantılı olabileceğini ima edince Song, tehdit ve suçlamalara maruz kaldığını kamuoyuna açıkladı
    • “Şirketimizin ICE ya da Palantir ile hiçbir ilişkisi yok” diyerek bunu e-posta ekran görüntüleriyle reddetti
    • Bazı eleştirilerin yeni işe başlayan çalışanlara yöneldiğini ve sorumluluğun kendisine ait olduğunu söyledi
  • Song’un LinkedIn profilinde fotoğraf bulunmaması nedeniyle kişisel saldırılar da sürdü
    • Buna karşılık Song, “gerçek isim doğrulaması yüzünü göstermek anlamına gelmez” diyerek mahremiyeti korumanın önemli olduğunu savundu

Discord’un güvenlik güvenilirliği tartışması sürüyor

  • Persona ile sözleşmenin sona ermesi, Discord’un güvenlik ve gizlilik koruma sistemlerine yönelik güvensizliği yeniden gündeme taşıdı
    • Peş peşe yaşanan üçüncü taraf hizmet sorunları nedeniyle kullanıcı verisi yönetiminde şeffaflık temel tartışma başlığı haline geldi
  • Discord, “yalnızca kullanıcının yaşını topluyoruz, kimlik bilgisi hesapla ilişkilendirilmiyor” vurgusunu yineledi
    • Ancak geçmiş FAQ sayfasındaki saklama süresi açıklamalarının farklı olması, politika tutarlılığı tartışmasını sürdürdü

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-25
Hacker News görüşleri

  • Persona ön yüz kod tabanına dair bir analiz yazısı burada var
    Sonuca varmadan önce bu orijinal kaynağı mutlaka okumanızı öneririm. İkincil haberler çoğu zaman düşük kaliteli oluyor

    • Persona güvenlik ekibinin resmî yanıtı burada, Rick’in X tartışması da burada görülebilir
    • Bu yazı 6 gün önce gönderildi ama işaretlendi. Yeniden incelenmeye değer
    • Yazıyı okudum; fintek sektöründe uzun süre çalıştığım için kaygıların çoğuna katılmıyorum
      Yalnız veri saklama süresinin farklı şekillerde belirtilmiş olması biraz endişe verici. Geri kalanı KYC/AML sektöründe olağan şeyler
    • Devam yazısı burada
    • Yazı iyiydi ama site o kadar dağınıktı ki gözüm ve kulağım ağrıdı. Keşke okunabilirlik biraz iyileştirilse

  • Hâlâ ikna olmuş değilim
    Belli bir kişi lobiciler aracılığıyla muazzam bir etki gücü satın aldı ve bunun sonucu olarak aşırı zenginler toplumu genel olarak daha kötü hâle getiriyor
    Discord’un bu hamlesinin de samimi olduğunu düşünmüyorum. Kullanıcı tepkisinden korkup durumu toparlıyormuş gibi yapıyorlar; asıl amaç baştan beri gözetimdi

    • Kişinin adını bilerek anmamak çocukça görünüyor ve asıl meseleyi bulandırıyor
    • “Voldemort falan mı bu?” tepkisi gelecek kadar abartılı
    • Discord’un asıl sorunu yaklaşan IPO. Yatırımcılara değerini kanıtlamak için sonunda kullanıcı verilerini ve mesajlarını varlığa dönüştürmek zorunda kalacak
    • Eskiden devlet gözetiminden endişe ederdim; şimdi o rolü büyük teknoloji şirketleri almış durumda

  • Palantir’den Peter Thiel gibi kişilerle bağların koparıldığı gün, toplum için iyi bir gün olur

    • Böyle örgütlerin doğrudan yasaklı kuruluş ilan edilmesi gerektiğini düşünüyorum

  • İlgili yazı: LinkedIn kimlik doğrulamasında paylaşılan bilgiler

  • Güven kaybı artık geri döndürülemez
    İçinde olduğum Discord toplulukları hâlâ duruyor ama bu olaydan sonra yenilerine katılmayı düşünmüyorum

    • Discord’un nasıl bu kadar büyüdüğünü merak ediyorum. Slack’e alternatif diye geçmek hataydı
      Slack gibi onda da veri tekeli ve kapalılık sorunları var; insanlar yine kandırıldı
    • Hatta bu olay Persona gibi şirketlere karşı temkinli olunması gereken bir örnek olarak kalırsa iyi olur
    • Yönettiğim sunucunun yedeğini aldım; benden yaş doğrulaması istenirse hemen sileceğim
    • Aslında Discord yıllardır güven kaybediyordu. İstemci kalitesindeki düşüş, reklamların gelmesi gibi şeyler tam bir enshittification örneği
      Bu doğrulama tartışması da o düşüşün bir başka aşaması sadece
    • Discord, açık internetin bir kanseri
      Gerçek zamanlı sohbet güzel ama toplulukların ve vikilerin kapalı platformlara taşınması felaketti
      Benzer alternatifler aramak yerine açık forumlara ve vikilere dönmemiz gerekiyor

  • Discord’un yüz doğrulama talebini geri çekip çekmediği, yoksa sadece Persona kullanımını mı durdurduğu kafa karıştırıcı

    • Doğrulama hâlâ harici bir şirkete outsource ediliyor. Sadece Persona yerine başka bir şirket kullanılacak
      Not olarak, doğrulama yalnızca yetişkin sunucularına katılım veya içerik filtresini kaldırma gibi bazı özellikler için gerekiyor
    • Discord başlangıçta k-ID adlı cihaz üzerinde çalışan bir çözüm sağlayıcısını kullanmayı planlıyordu
      Ama aynı anda Persona’yı da test ediyordu ve Persona veriyi sakladığı için güven kaybetti
      Üstelik hem Persona hem de 5CA güvenlik olayı yaşadı. Muhtemelen geçiş bu yüzden iptal edildi
    • Discord planı tamamen geri çekmedi; sadece bazı bölgelerde Persona kullanmayacağını söyledi
      Resmî blogdaki özet ve özür metnine göre
      küresel dağıtım ertelendi ve doğrulama ihtiyacını azaltan özellikler (ör. spoiler kanalları) eklenecek

  • Persona olayla ilgili olay sonrası inceleme raporunu yayımladı
    Bağlantı

    • “Source map exposure” ifadesini ‘felaket düzeyinde (CATASTROPHIC)’ diye nitelemek abartı
      Ön yüz kodu zaten kamuya açık olur; prod ortamında sadece minify etmek yeterlidir

  • Araştırmacılar devlet onaylı endpoint’te 2.500 dosya buldu ve Persona’nın yüz tanıma ile politikacı izleme listesi karşılaştırması yaptığına dair kayıtlar vardı
    Bu bilgilerin hiçbir hack olmadan açıkta duruyor olması şok edici
    Şirketlerin “kullanıcı gizliliği en büyük önceliğimiz” demesi artık boş bir slogandan ibaret geliyor
    CEO’nun “internette yüzünü göstermek distopik” derken, bir yandan kullanıcılardan yüzlerini yüklemelerini istemesi ironik

    • O son alıntı gerçekten komikti. Her gün böyle davranıp da bunu söylemesi inanılır gibi değil

  • Persona adı artık zehirli bir markaya dönüşüyor gibi görünüyor

    • Bunun Discord’u mu yoksa Thiel’i mi anlattığı belli olmayacak kadar

  • Discord “yalnızca 7 gün saklıyoruz” dedi ama bu veri o süre içinde Persona’ya aktarıldığında sonrasında ne olduğu bilinmiyor

    • Daha önce “hemen siliyoruz” deniyordu, şimdi 7 gün deniyor; böyle bir güven çöküşünün nasıl onarılabileceğini bilmiyorum