Discord chấm dứt hợp đồng với phần mềm xác minh danh tính ‘Persona’

 (fortune.com)
2 điểm bởi GN⁺ 2026-02-25 | 1 bình luận | Chia sẻ qua WhatsApp
  • Discord đã ngừng hợp tác sau khi mã của Persona được phát hiện trong một hệ thống giám sát của chính phủ Mỹ
  • Persona hiện được dùng trên X, OpenAI, LinkedIn, Figma, Reddit... để xác minh danh tính và độ tuổi
  • Đoạn mã bị phát hiện có chứa các chức năng nhận diện khuôn mặt, giám sát nhân vật chính trị và kiểm tra liên quan đến khủng bố
  • Ngoài việc xác minh độ tuổi người dùng, Persona còn thực hiện 269 loại quy trình kiểm tra và có cấu trúc chấm điểm mức độ rủi ro cùng độ tương đồng
  • Discord cho biết đợt hợp tác này chỉ là thử nghiệm dưới 1 tháng, và thông tin được gửi lên sẽ chỉ được lưu tối đa 7 ngày rồi xóa

Discord và Persona chấm dứt hợp tác

  • Discord đã chấm dứt quan hệ hợp tác sau khi mã của Persona Identities bị phát hiện trên internet công khai và trong các máy chủ của chính phủ Mỹ
    • Các nhà nghiên cứu báo cáo rằng khoảng 2.500 tệp có thể được truy cập qua các endpoint đã được chính phủ Mỹ phê duyệt
    • Đoạn mã này bao gồm các chức năng đối chiếu danh sách đối tượng giám sát, xác minh nhân vật có ảnh hưởng chính trị, sàng lọc truyền thông liên quan đến khủng bố và gián điệp
  • Ngoài xác minh độ tuổi, Persona còn thực hiện 269 quy trình kiểm tra riêng lẻ và rà soát 14 danh mục “truyền thông tiêu cực”
    • Cấu trúc này gán điểm rủi ro và điểm tương đồng cho thông tin của từng người dùng
  • Các nhà nghiên cứu cho biết “không cần viết dù chỉ một dòng mã khai thác”, đồng thời nói rằng 53MB dữ liệu đã được phát hiện tại endpoint chính phủ FedRAMP
    • Dữ liệu đó có chứa các thẻ tên mã của những chương trình tình báo đang hoạt động

Phản ứng của Discord và chính sách quyền riêng tư

  • Discord xác nhận việc hợp tác với Persona chỉ là một quan hệ đối tác thử nghiệm kéo dài chưa đến 1 tháng
    • Chỉ một số người dùng tham gia, và thông tin được gửi lên sẽ được lưu tối đa 7 ngày rồi xóa
  • Discord trước đây cũng từng bị chỉ trích vì các vấn đề bảo mật từ dịch vụ bên thứ ba
    • Năm 2025, vụ 5CA bị hack đã làm lộ giấy tờ tùy thân do chính phủ cấp của hơn 70.000 người dùng
    • Dữ liệu bị lộ bao gồm địa chỉ IP, một phần dữ liệu thanh toán và dữ liệu doanh nghiệp
  • Gần đây Discord đã áp dụng “teen-by-default” cho các tài khoản trên toàn cầu, nhưng sau phản ứng từ người dùng đã sửa lại để xác minh độ tuổi là tùy chọn
    • Phần lớn người dùng có thể xác minh bằng video selfie thay vì giấy tờ tùy thân do chính phủ cấp
    • Discord nêu rõ rằng “quét khuôn mặt chỉ được xử lý trên thiết bị và không được gửi lên máy chủ”

Lập trường và giải thích của Persona

  • CEO Persona Rick Song cho rằng các tệp được phát hiện không phải lỗ hổng bảo mật mà là thông tin frontend công khai
    • Ông giải thích rằng “đó chỉ là các tệp sourcemap chưa nén được công khai”, và đây là phần mã vốn đã tồn tại trên thiết bị của mọi người dùng
    • Tuy vậy, ông cũng thừa nhận rằng “việc các tệp chưa nén xuất hiện trên mạng là điều không mong muốn”
  • Song phủ nhận Persona có quan hệ với Palantir, ICE hay các cơ quan chính phủ, đồng thời cho biết hiện công ty đang trong quá trình đạt chứng nhận FedRAMP
    • Mục đích của chứng nhận này là cung cấp dịch vụ bảo mật phục vụ xác minh danh tính nhân viên
  • 269 hạng mục kiểm tra của Persona là các tùy chọn do khách hàng lựa chọn, không phải tất cả đều được sử dụng
    • Ông giải thích rằng mục đích xác minh độ tuổi trên mạng xã hội khác với điều tra lý lịch trong doanh nghiệp
  • Song nhấn mạnh rằng Persona cung cấp các giải pháp KYC (xác minh danh tính khách hàng)AML (chống rửa tiền), nhưng không liên kết dữ liệu sinh trắc học khuôn mặt với hồ sơ tài chính hay cơ sở dữ liệu của cơ quan thực thi pháp luật

Tranh cãi và việc CEO bị tấn công thông tin cá nhân trên mạng

  • Sau khi nhà nghiên cứu ‘Celeste’ ám chỉ Persona có liên hệ với Palantir và ICE, Song công khai cho biết ông đã nhận các lời đe dọa và chỉ trích
    • Ông phản bác bằng ảnh chụp màn hình email, nói rằng “công ty chúng tôi không có bất kỳ mối liên hệ nào với ICE hay Palantir”
    • Ông cũng đề cập rằng một phần chỉ trích đang hướng đến các nhân viên mới vào làm, và trách nhiệm thuộc về bản thân ông
  • Song tiếp tục bị tấn công thông tin cá nhân chỉ vì trên hồ sơ LinkedIn của ông không có ảnh
    • Đáp lại, Song nói rằng “xác minh danh tính bằng tên thật không đồng nghĩa với việc phải công khai khuôn mặt”, và nhấn mạnh tầm quan trọng của việc bảo vệ quyền riêng tư

Tranh cãi về độ tin cậy bảo mật của Discord tiếp diễn

  • Việc chấm dứt hợp đồng với Persona lại làm dấy lên sự thiếu tin tưởng vào hệ thống bảo mật và bảo vệ quyền riêng tư của Discord
    • Sau hàng loạt vấn đề với dịch vụ bên thứ ba, tính minh bạch trong quản lý dữ liệu người dùng nổi lên là vấn đề then chốt
  • Discord một lần nữa nhấn mạnh rằng họ “chỉ thu thập độ tuổi của người dùng, và danh tính không được liên kết với tài khoản
    • Tuy nhiên, do phần giải thích về thời gian lưu trữ trong FAQ trước đây không nhất quán, tranh cãi về tính nhất quán của chính sách vẫn còn

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-02-25
Ý kiến trên Hacker News

  • Có một bài phân tích dựa trên mã frontend của Persona ở đây
    Trước khi kết luận, rất nên đọc tài liệu gốc này. Các bài đưa tin lại thường có chất lượng thấp

    • Phản hồi chính thức từ đội bảo mật của Persona ở đây, và cũng có thể xem thảo luận của Rick trên Twitter tại đây
    • Bài này đã được gửi từ 6 ngày trước nhưng đã bị gắn cờ. Đáng để xem xét lại
    • Tôi đã đọc bài đó, và vì đã làm trong ngành fintech lâu năm nên tôi không đồng tình với phần lớn các lo ngại
      Tuy vậy, phần thời hạn lưu trữ dữ liệu được mô tả không nhất quán thì có hơi đáng lo. Còn lại là chuyện khá phổ biến trong ngành KYC/AML
    • Bài viết tiếp theo ở đây
    • Bài viết hay, nhưng trang web quá rối mắt khiến tôi đau cả mắt lẫn tai. Mong họ cải thiện độ dễ đọc

  • Tôi vẫn chưa bị thuyết phục
    Một cá nhân nào đó đã mua được ảnh hưởng cực lớn thông qua giới vận động hành lang, và kết quả là tầng lớp siêu giàu đang làm xã hội nói chung tệ đi
    Tôi cũng không tin phản ứng lần này của Discord là chân thành. Chỉ là họ bị phản ứng người dùng làm cho hoảng nên giả vờ xử lý, còn mục đích ban đầu vẫn là giám sát

    • Cách cố tình không nhắc tên người đó lại trông khá trẻ con và làm loãng vấn đề
    • Mức độ né tránh đến mức khiến người ta phải hỏi: “Hắn là Voldemort hay sao?”
    • Vấn đề thật sự của Discord là đợt IPO sắp tới. Muốn chứng minh giá trị với nhà đầu tư thì cuối cùng họ sẽ phải biến dữ liệu người dùng và tin nhắn thành tài sản
    • Trước đây người ta lo về giám sát của chính phủ, giờ thì các tập đoàn Big Tech đang thay vào vị trí đó

  • Ngày nào cắt đứt được quan hệ với những nhân vật như Peter Thiel của Palantir thì đó là ngày tốt cho toàn xã hội

    • Tôi nghĩ những tổ chức như thế này nên bị xếp hẳn vào dạng tổ chức bị cấm

  • Bài liên quan: Thông tin đã giao nộp cho xác minh danh tính trên LinkedIn

  • Tổn hại niềm tin giờ đã không thể đảo ngược
    Các cộng đồng Discord mà tôi tham gia vẫn còn đó, nhưng sau vụ này tôi sẽ không định tham gia cộng đồng mới nữa

    • Tôi thắc mắc sao Discord lại có thể lớn đến vậy. Vấn đề bắt đầu từ việc chuyển sang đó như một lựa chọn thay thế Slack
      Nó cũng có vấn đề độc quyền dữ liệu và tính đóng như Slack, vậy mà mọi người lại tiếp tục bị lừa
    • Nếu vụ này trở thành một ví dụ cảnh báo về việc phải dè chừng các công ty như Persona thì lại là điều tốt
    • Tôi đã sao lưu máy chủ mình đang vận hành, và nếu họ yêu cầu tôi xác minh độ tuổi thì tôi sẽ xóa ngay
    • Thật ra Discord đã đánh mất niềm tin từ nhiều năm nay rồi. Chất lượng client đi xuống, thêm quảng cáo, đúng kiểu enshittification điển hình
      Tranh cãi xác minh lần này chỉ là thêm một bước nữa trong đà đi xuống đó
    • Discord là khối u ác tính của Internet mở
      Chat thời gian thực thì tốt, nhưng việc cộng đồng và wiki chuyển sang một nền tảng đóng là thảm họa
      Thay vì tìm các lựa chọn thay thế tương tự, chúng ta nên quay lại với diễn đàn mở và wiki

  • Tôi đang thấy khó hiểu là Discord đã rút lại yêu cầu xác minh khuôn mặt, hay chỉ ngừng dùng Persona thôi

    • Việc xác minh vẫn là thuê ngoài cho bên thứ ba. Chỉ là đổi từ Persona sang công ty khác mà thôi
      Tham khảo thêm thì việc xác minh chỉ cần cho một số tính năng như tham gia server người lớn hoặc tắt bộ lọc nội dung
    • Ban đầu Discord định dùng k-ID, một nhà cung cấp xử lý ngay trên thiết bị
      Nhưng đồng thời họ cũng đang thử Persona, và Persona lưu dữ liệu nên đã đánh mất niềm tin
      Hơn nữa, cả Persona lẫn 5CA đều từng gặp sự cố bảo mật. Có vẻ vì vậy mà việc chuyển đổi đã bị hủy
    • Discord không rút lại kế hoạch, họ chỉ nói sẽ không dùng Persona ở một số khu vực mà thôi
      Theo bản tóm tắt và thư xin lỗi trên blog chính thức
      việc triển khai toàn cầu sẽ bị trì hoãn, và họ sẽ bổ sung các tính năng giúp giảm nhu cầu xác minh (ví dụ: kênh spoiler)

  • Persona đã công bố báo cáo phân tích sau sự cố cho vụ này
    Liên kết

    • Gọi việc “lộ source map” là ‘thảm họa (CATASTROPHIC)’ thì hơi phóng đại
      Mã frontend vốn dĩ đã là thứ công khai, và trong production thì chỉ cần minify là đủ

  • Các nhà nghiên cứu đã tìm thấy 2.500 tệp trên một endpoint được chính phủ phê duyệt, trong đó có hồ sơ cho thấy Persona đã thực hiện nhận diện khuôn mặt và đối chiếu với danh sách giám sát chính trị gia
    Việc những thông tin như vậy lại bị công khai mà không cần bất kỳ vụ hack nào thật sự gây sốc
    Giờ đây khi các công ty nói “quyền riêng tư của người dùng là ưu tiên hàng đầu”, điều đó nghe như một khẩu hiệu rỗng tuếch
    CEO nói rằng “việc lộ mặt trên mạng là mang tính phản địa đàng”, nhưng lại bắt người dùng nộp khuôn mặt của mình, thật mỉa mai

    • Câu trích dẫn cuối đúng là buồn cười thật. Khó mà tin được một người ngày nào cũng hành xử như vậy lại có thể nói thế

  • Cái tên Persona giờ đang dần trở thành một thương hiệu độc hại

    • Đến mức khó biết là đang nói về Discord, hay về Thiel

  • Discord nói là “chỉ lưu 7 ngày”, nhưng một khi đã chuyển cho Persona thì sau khoảng thời gian đó không ai biết chuyện gì xảy ra nữa

    • Trước đây còn nói là “xóa ngay lập tức”, giờ lại thành 7 ngày, tôi không biết kiểu sụp đổ niềm tin này còn có thể cứu vãn thế nào