Platform komunikasi Discord lagi dapat kritikan keras. Ini terjadi setelah perangkat lunak verifikasi identitas mereka, Persona Identities, ketahuan punya kode frontend yang bisa diakses secara terbuka di internet dan bahkan di server pemerintah.
Para peneliti nemuin hampir 2.500 file yang bisa diakses di sebuah titik akhir yang disetujui pemerintah AS. File-file itu menunjukkan Persona melakukan pemeriksaan pengenalan wajah terhadap daftar pantauan dan menyaring pengguna dari daftar orang-orang yang terpapar politik.
Selain memverifikasi usia pengguna, peneliti menemukan Persona melakukan 269 jenis pemeriksaan verifikasi yang berbeda. Pemeriksaan ini termasuk menyaring "media buruk" di 14 kategori seperti terorisme dan spionase. Lalu, sistemnya memberikan skor risiko dan kemiripan untuk informasi pengguna.
Dan informasinya tersedia secara terbuka. "Kami bahkan tidak perlu menulis atau melakukan eksploitasi tunggal, seluruh arsitekturnya sudah ada di depan pintu," tulis para peneliti di blog mereka. Mereka menemukan 53 megabyte data di titik akhir pemerintah FedRAMP yang juga "menandai laporan dengan nama kode dari program intelijen aktif."
Discord sejak itu mengumumkan akan memutus hubungan dengan Persona. Perangkat lunak AI ini, yang sebagian dananya dari firma ventura pendiri Palantir Peter Thiel, tetap menyediakan layanan verifikasi usia untuk OpenAI, Lime, dan Roblox.
Baik Persona mau pun Discord mengkonfirmasi ke Fortune bahwa kemitraan mereka berlangsung kurang dari sebulan dan sudah berakhir. Menurut Discord, hanya sejumlah kecil pengguna yang ikut tes ini, di mana informasi yang dikirim mungkin disimpan sampai tujuh hari sebelum dihapus.
Kesalahan Perombakan Keamanan Discord
Ini bukan pertama kalinya vendor pihak ketiga dapat sorotan karena salah menangani informasi sensitif pengguna Discord. Discord populer di kalangan gamer, pelajar, influencer, profesional teknologi, dan komunitas lain.
Tahun lalu, peretas mengakses ID pemerintah dari lebih 70.000 orang yang mematuhi syarat verifikasi usia mereka.
Dalam pernyataan tanggal 9 Oktober 2025, perusahaan bilang serangan itu "bukan pelanggaran di Discord, tapi pelanggaran di penyedia layanan pihak ketiga, 5CA." Discord menyatakan pelanggaran itu hanya memengaruhi pengguna yang berkomunikasi dengan tim Dukungan Pelanggan atau Kepercayaan dan Keamanan mereka.
"Di Discord, melindungi privasi dan keamanan pengguna adalah prioritas utama. Itulah sebabnya kami harus transparan dengan mereka tentang peristiwa yang memengaruhi informasi pribadi mereka," tambah pernyataan itu. Pengguna yang terdampak mendapat email jika ID pemerintah, alamat IP, atau data tagihan dan perusahaan terbatas mereka bocor.
Dan awal bulan ini, Discord langsung dapat kecaman setelah mengumumkan akan mengatur semua akun ke pengaturan keamanan remaja secara default. Pengguna yang mau akses fitur tambahan diharuskan verifikasi usia mereka pakai Persona.
"Meluncurkan pengaturan teen-by-default secara global melanjutkan arsitektur keamanan yang sudah ada di Discord," kata Kepala Kebijakan Produk Discord Savannah Badalich. Perusahaan "akan terus bekerja dengan ahli keamanan, pembuat kebijakan, dan pengguna Discord untuk mendukung kesejahteraan jangka panjang yang berarti."
Tapi setelah pengguna cepat-cepat mengingatkan soal peretasan data Oktober lalu, Discord mengubah pernyataannya keesokan hari. Mereka klarifikasi bahwa verifikasi usia akan tetap opsional, kecuali jika pengguna mau akses server dan saluran yang dibatasi usia.
Discord bilang mereka bisa tentukan usia kebanyakan pengguna pakai "informasi yang sudah kami miliki." Kebanyakan pengguna tidak harus mengunggah ID pemerintah dan bisa pilih video selfie.
"Kami menawarkan beberapa pilihan yang mengutamakan privasi melalui mitra terpercaya," bunyi tambahannya. "Pindaian wajah tidak pernah meninggalkan perangkat Anda. Discord dan mitra vendor kami tidak pernah menerimanya."
Dokumen identitas apa pun yang diunggah ke Discord akan dikirim ke vendor pihak ketiga platform dan cepat dihapus. "Dalam kebanyakan kasus, segera setelah konfirmasi usia," bunyi pernyataanya.
"ID hanya digunakan untuk mendapatkan usia Anda lalu dihapus," lanjutnya. "Discord hanya menerima usia Anda — itu saja. Identitas Anda tidak pernah dikaitkan dengan akun Anda."
Namun, versi FAQ Discord tentang kebijakan verifikasi usia yang sudah dihapus tampaknya bertentangan dengan klaim perusahaan tentang berapa lama ID pemerintah disimpan vendor pihak ketiga, dalam hal ini Persona.
"Penting: Jika Anda berada di Inggris Raya, Anda mungkin jadi bagian eksperimen di mana informasi Anda akan diproses vendor penentu usia, Persona," bunyi versi arsip situsnya. "Informasi yang Anda kirim akan disimpan sementara sampai 7 hari, lalu dihapus. Untuk verifikasi dokumen ID, semua detail dikaburkan kecuali foto dan tanggal lahir Anda, jadi hanya yang benar-benar diperlukan untuk verifikasi usia yang digunakan."
Persona Menjadi Personal
CEO dan pendiri Persona Rick Song bilang ke Fortune bahwa file-file itu bukan kerentanan, melainkan informasi frontend yang bisa diakses publik. "Yang ditemukan adalah file tidak terkompresi dari front end yang sudah ada di setiap perangkat orang," katanya. Ia menambahkan informasi itu tersedia di pusat bantuan dan dokumentasi API perusahaan. "Saya kira punya file tidak terkompresi di internet itu tidak bagus," lanjut Song, tapi informasi yang ditemukan peneliti adalah versi tidak terkompresi dari source map perusahaan yang terkompresi secara online.
"Saya rasa ini salah satu kasus di mana isinya terlihat lebih menakutkan, tapi… secara internal, kami bahkan tidak menganggap ini kerentanan besar."
Song masih anggap kemitraan antara Persona dan Discord sukses. "Saya rasa kinerja produknya sangat bagus," kata CEO itu ke Fortune. "Alasan kami bisa bilang bahwa semua data segera dihapus adalah karena data itu dihapus; data sudah dihapus saat diproses. Bukan karena pemutusan kontrak lalu kami hapus datanya. Data dihapus segera setelah verifikasi individu selesai."
Song bantah ada hubungan dengan Palantir, ICE, atau pemerintah. Tapi ia bilang perusahaan sedang proses otorisasi FedRAMP. "Kami sedang berusaha dapat FedRAMP dan tujuannya adalah kami banyak bekerja untuk keamanan tenaga kerja," yang menggunakan set informasi berbeda untuk konfirmasi identitas karyawan, dibandingkan pengguna media sosial yang verifikasi usia.
Menanggapi 269 jenis pemeriksaan verifikasi, Song bilang itu semua opsi yang Persona tawarkan, tapi tidak berarti klien butuh semuanya. Intinya, kebutuhan platform media sosial untuk verifikasi usia tidak akan sama dengan perusahaan yang melakukan pemeriksaan latar belakang.
Di akhir pekan, Song bantah bahwa Persona — yang juga tawarkan solusi Know Your Customer (KYC) dan Anti-Money Laundering (AML) — mengaitkan biometrik wajah dengan catatan keuangan atau database penegak hukum. Song posting tangkapan layar percakapan email dengan peneliti "Celeste" di X. Ia menyatakan implikasi peneliti tentang koneksi antara Persona, Palantir, dan ICE telah memicu ancaman ke anggota perusahaannya.
"Kami tidak punya hubungan sama sekali dengan ICE, Palantir," bunyi tangkapan layar email Song. CEO itu tambahkan bahwa beberapa anggota perusahaan yang dapat kritikan adalah lulusan baru atau orang yang baru bergabung. "Saya rasa orang-orang ini bukan yang harus dituju kemarahan publik, dan jika ada, harusnya ke saya."
Song juga diserang karena kurangnya informasi identitas pribadi secara online. Seorang pengguna di X posting tangkapan layar profil LinkedIn CEO itu yang menunjukkan Song punya lencana terverifikasi tapi tidak punya foto profil. Persona menangani permintaan verifikasi identitas LinkedIn.
Menanggapi hal ini, Song menulis, "Saya terverifikasi. Itulah intinya. Dystopian kalau kita mau orang facedox diri mereka ke semua orang agar dianggap nyata di internet. Ironis bahwa orang-orang yang posting tentang privasi malah mau saya facedox ke semua orang."