Discord ยุติสัญญากับซอฟต์แวร์ยืนยันตัวตน ‘Persona’

 (fortune.com)
2 คะแนน โดย GN⁺ 2026-02-25 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Discord ยุติความร่วมมือหลังพบโค้ดของ Persona ในระบบเฝ้าระวังของรัฐบาลสหรัฐฯ
  • Persona ถูกใช้งานบน X, OpenAI, Linkedin, Figma และ Reddit สำหรับ การยืนยันตัวตนและการยืนยันอายุ
  • โค้ดที่พบมีฟังก์ชัน จดจำใบหน้า·ตรวจสอบบุคคลทางการเมือง·คัดกรองที่เกี่ยวข้องกับการก่อการร้าย
  • นอกจากตรวจสอบอายุผู้ใช้แล้ว Persona ยังดำเนินการ กระบวนการตรวจสอบ 269 ประเภท และมีโครงสร้างให้คะแนนความเสี่ยงและคะแนนความคล้ายคลึง
  • Discord อธิบายว่าความร่วมมือครั้งนี้เป็น การทดสอบใช้งานไม่ถึง 1 เดือน และข้อมูลที่ส่งมาจะถูกเก็บไว้ไม่เกิน 7 วันก่อนลบ

Discord ยุติความร่วมมือกับ Persona

  • Discord ยุติความร่วมมือหลังพบโค้ดของ Persona Identities บนอินเทอร์เน็ตสาธารณะและบนเซิร์ฟเวอร์รัฐบาลสหรัฐฯ
    • นักวิจัยรายงานว่ามีไฟล์ประมาณ 2,500 ไฟล์ ที่เข้าถึงได้ผ่านเอนด์พอยต์ที่รัฐบาลสหรัฐฯ อนุมัติ
    • ในโค้ดดังกล่าวมีฟังก์ชัน เทียบกับรายชื่อผู้ถูกเฝ้าระวัง, ตรวจสอบบุคคลที่มีความเปิดเผยทางการเมือง, และคัดกรองสื่อที่เกี่ยวข้องกับการก่อการร้าย·การจารกรรม
  • นอกเหนือจากการยืนยันอายุแล้ว Persona ยังดำเนินการ ขั้นตอนการตรวจสอบแยก 269 รายการ และตรวจสอบรายการ ‘สื่อเชิงลบ’ 14 หมวดหมู่
    • มีโครงสร้างที่ให้ คะแนนความเสี่ยงและคะแนนความคล้ายคลึง แก่ข้อมูลของผู้ใช้แต่ละราย
  • นักวิจัยระบุว่า “ไม่จำเป็นต้องเขียนโค้ดเอ็กซ์พลอยต์แม้แต่บรรทัดเดียว” และกล่าวว่าพบ ข้อมูลขนาด 53MB บนเอนด์พอยต์ภาครัฐ FedRAMP
    • ข้อมูลดังกล่าวมี แท็กชื่อรหัสของโครงการข่าวกรองที่ยังใช้งานอยู่ รวมอยู่ด้วย

การตอบสนองของ Discord และนโยบายความเป็นส่วนตัว

  • Discord ยืนยันว่าความร่วมมือกับ Persona เป็น พาร์ตเนอร์ชิปเชิงทดลองไม่ถึง 1 เดือน
    • มีผู้ใช้เพียงบางส่วนที่เข้าร่วม และข้อมูลที่ส่งมาจะถูก เก็บไว้สูงสุด 7 วันก่อนลบ
  • ก่อนหน้านี้ Discord ก็เคยถูกวิจารณ์จากปัญหาความปลอดภัยของบริการภายนอก
    • ในปี 2025 มีเหตุ บริการ 5CA ถูกแฮ็ก ทำให้บัตรประจำตัวราชการของผู้ใช้กว่า 70,000 รายรั่วไหล
    • ข้อมูลที่รั่วไหลรวมถึง ที่อยู่ IP, ข้อมูลการชำระเงินบางส่วน และข้อมูลองค์กร
  • เมื่อไม่นานมานี้ Discord ได้นำ ‘teen-by-default’ มาใช้กับบัญชีทั่วโลก แต่ภายหลังปรับให้ การยืนยันอายุเป็นทางเลือก หลังผู้ใช้ต่อต้าน
    • ผู้ใช้ส่วนใหญ่สามารถยืนยันได้ด้วย วิดีโอเซลฟีแทนบัตรประจำตัวราชการ
    • Discord ระบุชัดว่า “การสแกนใบหน้าจะประมวลผลบนอุปกรณ์เท่านั้น และจะไม่ถูกส่งไปยังเซิร์ฟเวอร์”

จุดยืนและคำชี้แจงของ Persona

  • Rick Song ซีอีโอของ Persona อ้างว่าไฟล์ที่พบเป็น ข้อมูลฟรอนต์เอนด์ที่เปิดเผยต่อสาธารณะ ไม่ใช่ช่องโหว่ด้านความปลอดภัย
    • เขาอธิบายว่า “เป็นเพียงไฟล์ source map ที่ไม่ได้ถูกบีบอัดซึ่งถูกเปิดเผยออกมา” และเป็นโค้ดที่มีอยู่แล้วในอุปกรณ์ของผู้ใช้ทุกคน
    • อย่างไรก็ตาม เขายอมรับว่า “การมีไฟล์ที่ไม่ได้บีบอัดอยู่บนออนไลน์นั้นไม่ใช่สิ่งที่พึงประสงค์”
  • Song ปฏิเสธว่า Persona มี ความเกี่ยวข้องกับ Palantir, ICE หรือหน่วยงานรัฐบาล และเปิดเผยว่าขณะนี้อยู่ระหว่าง กระบวนการขอการรับรอง FedRAMP
    • วัตถุประสงค์ของการรับรองคือเพื่อ ให้บริการด้านความปลอดภัยสำหรับการตรวจสอบตัวตนของพนักงาน
  • รายการตรวจสอบ 269 รายการของ Persona เป็น ตัวเลือกที่ลูกค้าเลือกใช้ได้ และไม่ได้ใช้ทุกหัวข้อเสมอไป
    • เขาอธิบายว่าเป้าหมายของการยืนยันอายุบนโซเชียลมีเดียกับการตรวจสอบประวัติขององค์กรนั้นแตกต่างกัน
  • Song ย้ำว่า Persona ให้บริการโซลูชัน KYC(การรู้จักลูกค้า) และ AML(การป้องกันการฟอกเงิน) แต่ ไม่เชื่อมโยงข้อมูลชีวมิติใบหน้ากับบันทึกทางการเงินหรือฐานข้อมูลของหน่วยงานบังคับใช้กฎหมาย

ข้อถกเถียงและการโจมตีข้อมูลส่วนตัวของซีอีโอทางออนไลน์

  • หลังนักวิจัยชื่อ ‘Celeste’ สื่อถึงความเชื่อมโยงระหว่าง Persona, Palantir และ ICE, Song เปิดเผยว่าเขา ได้รับคำขู่และคำตำหนิ
    • เขาโต้กลับผ่านภาพหน้าจออีเมลว่า “บริษัทของเราไม่มีความเกี่ยวข้องใด ๆ กับ ICE หรือ Palantir”
    • เขายังกล่าวว่าคำวิจารณ์บางส่วน พุ่งเป้าไปที่พนักงานใหม่ และความรับผิดชอบควรตกอยู่ที่ตัวเขาเอง
  • เกิดการโจมตีข้อมูลส่วนตัวต่อเนื่องเพียงเพราะ โปรไฟล์ LinkedIn ของ Song ไม่มีรูปถ่าย
    • Song ตอบโต้ว่า “การยืนยันชื่อจริงไม่ได้หมายความว่าต้องเปิดเผยใบหน้า” และย้ำว่าการปกป้องความเป็นส่วนตัวเป็นเรื่องสำคัญ

ข้อถกเถียงเรื่องความน่าเชื่อถือด้านความปลอดภัยของ Discord ยังดำเนินต่อไป

  • การยุติสัญญากับ Persona ทำให้เกิด ความไม่ไว้วางใจต่อระบบความปลอดภัยและการคุ้มครองข้อมูลส่วนบุคคล ของ Discord ขึ้นมาอีกครั้ง
    • จากปัญหาต่อเนื่องของบริการภายนอก ความโปร่งใสในการจัดการข้อมูลผู้ใช้ จึงกลายเป็นประเด็นสำคัญ
  • Discord ย้ำอีกครั้งว่า “เก็บเฉพาะอายุของผู้ใช้ และไม่ได้เชื่อมโยงตัวตนเข้ากับบัญชี
    • อย่างไรก็ตาม เนื่องจากคำอธิบายระยะเวลาการเก็บรักษาใน FAQ ก่อนหน้านี้ไม่ตรงกัน จึงยังมี ข้อถกเถียงเรื่องความสอดคล้องของนโยบาย อยู่

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-02-25
ความเห็นจาก Hacker News

  • มีบทวิเคราะห์ที่อิงจากโค้ดฟรอนต์เอนด์ของ Persona อยู่ที่นี่
    ก่อนจะสรุปอะไร แนะนำให้อ่าน แหล่งข้อมูลต้นฉบับ นี้ก่อน ข่าวรายงานต่อมักมีคุณภาพต่ำบ่อยครั้ง

    • แถลงการณ์ตอบสนองอย่างเป็นทางการจากทีมความปลอดภัยของ Persona อยู่ที่นี่ และดูการพูดคุยบน Twitter ของ Rick ได้ที่นี่
    • บทความนี้ถูกส่งไปเมื่อ 6 วันก่อน แต่ถูกติดธงไว้ น่าจะคุ้มค่าที่จะกลับมาพิจารณาอีกครั้ง
    • ฉันอ่านบทความแล้ว และเพราะอยู่ใน อุตสาหกรรมฟินเทค มานาน จึงไม่ได้กังวลกับข้อกังวลส่วนใหญ่เท่าไร
      แต่ส่วนที่ระบุระยะเวลาเก็บรักษาข้อมูลไม่ตรงกันนั้นค่อนข้างน่ากังวล นอกนั้นเป็นเรื่องปกติในวงการ KYC/AML
    • บทความติดตามผลอยู่ที่นี่
    • บทความดี แต่เว็บไซต์รกเกินไปจนปวดตาและปวดหู อยากให้ปรับปรุง ความอ่านง่าย หน่อย

  • ฉันก็ยังไม่ค่อยมั่นใจอยู่ดี
    บุคคลบางคนซื้อ อิทธิพลมหาศาล ผ่านล็อบบี้ยิสต์ และผลก็คือเหล่ามหาเศรษฐีกำลังทำให้สังคมโดยรวมแย่ลง
    ฉันมองว่าการตอบสนองของ Discord ครั้งนี้ก็ไม่ได้จริงใจ แค่ตกใจกับกระแสตีกลับจากผู้ใช้แล้วทำเป็นมาแก้ปัญหา ทั้งที่เป้าหมายตั้งแต่แรกคือ การสอดส่อง

    • การตั้งใจไม่เอ่ยชื่อคนกลับดูเด็กน้อยและทำให้ประเด็นหลักพร่าเลือน
    • ถึงขั้นชวนให้คนตอบว่า “เขาเป็นโวลเดอมอร์หรือไง?”
    • ปัญหาที่แท้จริงของ Discord คือ IPO ที่กำลังจะมาถึง หากต้องพิสูจน์มูลค่าให้นักลงทุนเห็น สุดท้ายก็ต้องทำให้ข้อมูลผู้ใช้และข้อความกลายเป็นสินทรัพย์
    • เมื่อก่อนเรากังวลเรื่องการสอดส่องของรัฐบาล แต่ตอนนี้ บิ๊กเทค เข้ามาแทนที่แล้ว

  • วันที่ตัดความสัมพันธ์กับคนอย่าง Peter Thiel แห่ง Palantir ได้ จะเป็นวันที่ดีต่อสังคมโดยรวม

    • ฉันคิดว่าองค์กรแบบนี้ควรถูกจัดให้เป็น องค์กรต้องห้าม ไปเลย

  • บทความที่เกี่ยวข้อง: ข้อมูลที่ส่งมอบให้ตอนยืนยันตัวตนบน LinkedIn

  • ความเสียหายด้าน ความเชื่อมั่น นั้นย้อนกลับไม่ได้แล้ว
    คอมมูนิตี้ Discord ที่ฉันอยู่ยังคงอยู่ก็จริง แต่หลังจากเรื่องนี้ฉันคงไม่คิดเข้าร่วมใหม่อีก

    • สงสัยว่า Discord โตมาได้ขนาดนี้ได้อย่างไร การย้ายไปเพราะคิดว่าเป็นทางเลือกแทน Slack นั่นแหละคือปัญหา
      มันมีปัญหาเรื่อง การผูกขาดข้อมูล และความปิดเหมือน Slack แต่ผู้คนก็ยังโดนหลอกอีก
    • ถ้าอย่างน้อยเหตุการณ์นี้จะกลายเป็นกรณีตัวอย่างให้คน ระวังบริษัทอย่าง Persona มากขึ้น ก็นับว่าเป็นเรื่องดี
    • ฉันสำรองข้อมูลเซิร์ฟเวอร์ที่ดูแลไว้แล้ว และถ้ามีการขอ ยืนยันอายุ กับฉันเมื่อไร ฉันจะลบทิ้งทันที
    • ที่จริง Discord สูญเสียความไว้วางใจมาหลายปีแล้ว ทั้งคุณภาพไคลเอนต์ที่แย่ลง การใส่โฆษณา ฯลฯ เป็นตัวอย่างชัดเจนของ enshittification
      ดราม่ายืนยันตัวตนครั้งนี้ก็เป็นแค่อีกขั้นของความเสื่อมถอยนั้น
    • Discord คือเนื้อร้ายของ อินเทอร์เน็ตแบบเปิด
      แชตแบบเรียลไทม์นั้นดี แต่การที่คอมมูนิตี้และวิกิย้ายไปอยู่บนแพลตฟอร์มปิดเป็นหายนะ
      แทนที่จะมองหาทางเลือกที่คล้ายกัน เราควรกลับไปใช้ ฟอรัมเปิดและวิกิ

  • ยังสับสนว่า Discord ถอนข้อกำหนดการยืนยันใบหน้าออกไปแล้ว หรือแค่เลิกใช้ Persona

    • การยืนยันยังคงเป็นการ จ้างผู้ให้บริการภายนอก อยู่เหมือนเดิม เพียงแค่เปลี่ยนจาก Persona ไปเป็นบริษัทอื่นเท่านั้น
      ทั้งนี้ การยืนยันจำเป็นเฉพาะบางฟีเจอร์ เช่น การเข้าร่วมเซิร์ฟเวอร์สำหรับผู้ใหญ่ หรือการปลดฟิลเตอร์คอนเทนต์
    • เดิมที Discord ตั้งใจใช้ k-ID ซึ่งเป็นผู้ให้บริการประมวลผลบนอุปกรณ์
      แต่ในเวลาเดียวกันก็ทดสอบ Persona อยู่ด้วย และ Persona สูญเสียความน่าเชื่อถือเพราะเก็บข้อมูลไว้
      แถมทั้ง Persona และ 5CA ต่างก็เคยมี เหตุการณ์ด้านความปลอดภัย ด้วย ดูเหมือนนี่จะเป็นเหตุผลที่การเปลี่ยนผ่านถูกยกเลิก
    • Discord ไม่ได้ถอนแผนทั้งหมด แค่บอกว่าจะไม่ใช้ Persona ในบางภูมิภาคเท่านั้น
      ตามสรุปและคำขอโทษ บนบล็อกทางการ
      การเปิดใช้งานทั่วโลกถูกเลื่อนออกไป และมีแผนจะเพิ่มฟีเจอร์ที่ลดความจำเป็นในการยืนยันตัวตนลง เช่น ช่อง spoiler

  • Persona เผยแพร่ รายงาน postmortem ของเหตุการณ์ครั้งนี้แล้ว
    ลิงก์

    • การเรียก “การเปิดเผย source map” ว่า ‘หายนะร้ายแรง (CATASTROPHIC)’ นั้นดูเกินจริง
      โค้ดฟรอนต์เอนด์เป็นสิ่งที่เปิดเผยต่อสาธารณะอยู่แล้ว และในโปรดักชันก็แค่ทำ minify ก็เพียงพอ

  • นักวิจัยพบไฟล์ 2,500 ไฟล์บนเอนด์พอยต์ที่รัฐบาลอนุมัติ และมีบันทึกว่า Persona ทำการ จดจำใบหน้าและเทียบกับรายชื่อเฝ้าระวังนักการเมือง
    เรื่องที่ข้อมูลแบบนี้เปิดเผยสู่สาธารณะได้โดยไม่มีการแฮ็กใด ๆ เลยน่าตกใจมาก
    เวลาบริษัทพูดว่า “ความเป็นส่วนตัวของผู้ใช้มาก่อน” ตอนนี้มันฟังดูเป็นแค่ คำขวัญกลวง ๆ
    ซีอีโอบอกว่า “การต้องเปิดเผยใบหน้าบนออนไลน์เป็นเรื่องดิสโทเปีย” แต่กลับให้ผู้ใช้ส่งใบหน้าของตัวเองมา นี่มันช่างน่าประชด

    • คำพูดอ้างอิงสุดท้ายนั่นตลกจริง ๆ ทำแบบนั้นทุกวันแล้วยังพูดอย่างนั้นอีก ไม่น่าเชื่อเลย

  • ตอนนี้ชื่อ Persona กำลังกลายเป็น แบรนด์เป็นพิษ

    • จนแยกไม่ออกเลยว่าหมายถึง Discord หรือ Thiel กันแน่

  • Discord บอกว่า “เก็บไว้แค่ 7 วัน” แต่พอส่งต่อให้ Persona แล้ว หลังจากนั้นก็ไม่มีใครรู้

    • ก่อนหน้านี้บอกว่า “ลบทันที” แต่มาตอนนี้กลายเป็น 7 วันแล้ว ฉันไม่รู้จริง ๆ ว่าจะกู้ ความเชื่อมั่นที่พังทลาย แบบนี้กลับมาได้อย่างไร