Η πλατφόρμα επικοινωνίας Discord προχώρησε σε διακοπή της συνεργασίας της με την εταιρεία ελέγχου ταυτότητας Persona Identities, μετά την αποκάλυψη ότι σχεδόν 2.500 αρχεία ήταν εκτεθειμένα σε κυβερνητικό διακομιστή των ΗΠΑ. Η Persona, η οποία λαμβάνει μερική χρηματοδότηση από το venture firm Founders Fund του Peter Thiel, βρέθηκε στο επίκεντρο ερευνών που έδειξαν ότι το frontend κώδικάς της ήταν προσβάσιμος στο διαδίκτυο και σε κυβερνητικούς πόρους.

Ερευνητές εντόπισαν σχεδόν 2.500 προσβάσιμα αρχεία σε έναν εγκεκριμένο από την κυβέρνηση των ΗΠΑ τερματικό σταθμό, τα οποία αποκάλυψαν ότι η Persona διεξήγαγε ελέγχους αναγνώρισης προσώπου έναντι λιστών παρακολούθησης και φιλτράριζε τους χρήστες με βάση λίστες πολιτικά εκτεθειμένων προσώπων. Πέρα από την επαλήθευση ηλικίας, η Persona εκτελούσε 269 διαφορετικούς ελέγχους, συμπεριλαμβανομένου του ελέγχου για «δυσμενή μέσα ενημέρωσης» σε 14 κατηγορίες, όπως τρομοκρατία και κατασκοπεία, αποδίδοντας στη συνέχεια βαθμολογίες κινδύνου και ομοιότητας στα στοιχεία των χρηστών.

Η ευπάθεια ήταν ιδιαίτερα σοβαρή, καθώς, σύμφωνα με τους ερευνητές, «δεν χρειάστηκε καν να γράψουμε ή να εκτελέσουμε κανένα exploit», καθώς «ολόκληρη η αρχιτεκτονική βρισκόταν στην πόρτα». Βρέθηκαν 53 megabytes δεδομένων σε τερματικό του Federal Risk and Authorization Management Program (FedRAMP), το οποίο «επισημαίνει αναφορές με κωδικές ονομασίες από ενεργά προγράμματα πληροφοριών».

Το Discord ανακοίνωσε αμέσως τη διακοπή της συνεργασίας με την Persona, η οποία συνεχίζει να παρέχει υπηρεσίες επαλήθευσης ηλικίας για εταιρείες όπως η OpenAI, η Lime και η Roblox. Τόσο η Persona όσο και το Discord επιβεβαίωσαν ότι η συνεργασία τους διήρκεσε λιγότερο από ένα μήνα και έχει πλέον λυθεί. Σύμφωνα με το Discord, μόνο ένας μικρός αριθμός χρηστών συμμετείχε σε αυτή τη δοκιμή, με τα υποβληθέντα στοιχεία να αποθηκεύονται για επτά ημέρες πριν διαγραφούν.

Αυτή δεν είναι η πρώτη φορά που ένας τρίτος πάροχος τίθεται υπό έλεγχο για πλημμελή διαχείριση ευαίσθητων πληροφοριών χρηστών για το Discord. Πέρυσι, χάκερς απέκτησαν πρόσβαση σε κυβερνητικά έγγραφα περισσοτέρων από 70.000 χρηστών που είχαν συμμορφωθεί με τις απαιτήσεις επαλήθευσης ηλικίας. Η εταιρεία είχε τότε δηλώσει ότι η επίθεση αφορούσε παραβίαση τρίτου παρόχου, της 5CA, επηρεάζοντας μόνο χρήστες που επικοινώνησαν με τις ομάδες Εξυπηρέτησης Πελατών ή Εμπιστοσύνης και Ασφάλειας.

Νωρίτερα αυτόν τον μήνα, το Discord αντιμετώπισε άμεση αντίδραση μετά την ανακοίνωση ότι θα ενεργοποιούσε από προεπιλογή τις ρυθμίσεις εφηβικής ασφάλειας για όλους τους λογαριασμούς. Οι χρήστες που επιθυμούσαν πρόσβαση σε επιπλέον λειτουργίες θα έπρεπε να επαληθεύσουν την ηλικία τους μέσω της Persona. Ωστόσο, μετά τις αντιδράσεις και τη υπενθύμιση του περιστατικού του προηγούμενου Οκτωβρίου, το Discord τροποποίησε τη δήλωσή του, διευκρινίζοντας ότι η επαλήθευση ηλικίας θα παραμείνει προαιρετική, εκτός αν οι χρήστες επιθυμούσαν πρόσβαση σε περιεχόμενο με περιορισμούς ηλικίας.

Ο CEO της Persona, Rick Song, χαρακτήρισε τα εκτεθειμένα αρχεία όχι ως ευπάθεια, αλλά ως δημόσια προσβάσιμες πληροφορίες του frontend. Δήλωσε ότι η εταιρεία βρίσκεται σε διαδικασία πιστοποίησης FedRAMP, με στόχο την ενίσχυση της ασφάλειας του εργατικού δυναμικού. Ο Song διέψευσε οποιεσδήποτε σχέσεις με Palantir, ICE ή την κυβέρνηση, παρά τις υποψίες που είχαν εκφραστεί από ερευνητές.