Já se passou pouco mais de uma semana desde que o Discord disse que levaria seu mandato de verificação de idade globalmente e, apesar das promessas de que a maioria dos usuários não precisaria verificar, a empresa ainda está em apuros com os jogadores.
Mais recentemente, descobriu-se que Discord trabalhou com a empresa Persona, apoiada por Peter Thiel, que está envolvida em vários escândalos. Isso inclui alegações de que estava mantendo dados de identificação pessoal de usuários do Discord por mais tempo do que o inicialmente declarado e uma revelação de que a empresa acidentalmente deixou alguns de seus dados disponíveis para visualização na Internet aberta. O Discord agora diz que está desistindo da parceria com a Persona, mas vale a pena continuar depois de tudo isso?
O que aconteceu com a regra de verificação de idade do Discord?
Quando o Discord anunciou que em breve exigiria verificação de idade em todo o mundo, na verdade seguiu programas de verificação de idade que já haviam começado em regiões como Austrália e Reino Unido. O único parceiro de verificação de idade conhecido do Discord nos Estados Unidos é o k-ID, que usa digitalização facial no dispositivo, mas os usuários descobriram que, no Reino Unido, a empresa também tinha parceria com a Persona. A parceria do Discord com a Persona foi para um “experimento” que poderia ter feito com que os usuários enviassem informações que seriam “armazenadas temporariamente por até sete dias e depois excluídas”.
De acordo com relatórios da PCGamer, a informação veio à tona após relatos de que alguns usuários do Discord baseados no Reino Unido receberam solicitações para enviar informações ao Persona, o que gerou preocupações sobre seus dados faciais deixando seus dispositivos, apesar da promessa do anúncio inicial de que apenas os dados de identificação do governo iriam para a nuvem, bem como por quanto tempo quaisquer dados carregados permaneceriam na nuvem. Em uma página de suporte agora excluída, Discord esclareceu que a parceria era realmente real e parte de um experimento, e adicionou a nota sobre a possível janela de sete dias para exclusão, o que contradizia as declarações de que os dados carregados seriam excluídos diretamente após a verificação de idade.
Em uma postagem no X, o CEO da Persona, Rick Song, tentou defender o fluxo de trabalho, dizendo que a “digitalização facial no dispositivo” é “infelizmente muito fácil de ignorar hoje”, antes de acrescentar mais tarde que as informações enviadas ainda são “processadas e depois excluídas”. No entanto, Song não forneceu um cronograma para exclusão. E os dados potencialmente saindo do dispositivo do usuário, apesar das promessas iniciais de que isso não aconteceria, eram apenas uma parte da preocupação.
No fim de semana, um trio de hacktivistas também descobriu uma vulnerabilidade no front-end de dados do Persona, que – de acordo com a análise da publicação independente The Rage e da organização antimalware Malwarebytes – deixou 2.456 arquivos acessíveis na Internet aberta. Tanto os hackers quanto o CEO da Persona, que têm se comunicado de “boa fé”, dizem que a própria Persona não foi hackeada e que os dados foram acidentalmente vazados e visíveis para qualquer pessoa com conhecimento para encontrá-los (já foram excluídos).
O relatório completo das descobertas foi publicado por um dos hackers, Celeste, e detalha que o vazamento foi aparentemente encontrado por meio de um endpoint autorizado pelo governo dos EUA que de alguma forma foi isolado de seu ambiente normal de trabalho. Embora os hackers não tenham encontrado informações de identificação pessoal nos arquivos vazados, eles descobriram que o Persona geralmente realiza muito mais do que verificação de idade nos dados enviados a seus servidores. De acordo com o código vazado, a empresa usa reconhecimento facial para realizar 269 verificações separadas em listas de observação em 14 categorias (incluindo terrorismo e espionagem) e marca seus relatórios com codinomes relacionados a parcerias público-privadas conhecidas para rastrear qualquer coisa, desde distribuição de cannabis até lavagem de dinheiro. As informações, incluindo endereços IP coletados, impressões digitais de navegadores e dispositivos, números de telefone, nomes, rostos e muito mais, podem ser armazenadas por até três anos, de acordo com as descobertas dos hackers.
É verdade que é possível que o Persona não estivesse implementando todas essas verificações nos usuários que enviavam informações de verificação de idade via Discord ou mantendo os dados por mais de sete dias mencionados na página de suporte agora excluída. Mas não foi uma boa aparência nem para Persona nem para Discord.
Discord está encerrando seu relacionamento com Persona
Após a indignação dos usuários com a saída de dados pessoais de seus dispositivos ou com a permanência na nuvem por um período de tempo desconhecido, bem como a notícia de que a empresa responsável por esses dados aparentemente permitiu que muitos de seus arquivos vazassem para a Internet aberta, o Discord iniciou o controle de danos.
A empresa disse à Ars Technica que apenas um “pequeno número de usuários foi incluído no experimento” envolvendo o Persona, e que ele “decorreu por menos de um mês”. Mais importante ainda, agora que o experimento supostamente terminou, Discord disse a Ars e The Verge que não tem mais parceria com Persona e que “manterá nossos usuários informados à medida que fornecedores forem adicionados ou atualizados”.
Por parte da Persona, a empresa esclareceu à Ars que não possui contratos governamentais. O CEO Rick Song também disse em comunicação com os hackers que as informações vazadas foram baseadas em registros disponíveis publicamente, antes de reiterar que o Persona não armazena dados que os usuários enviam para ele. Song também disse que Persona não usa IA e, apesar de ser financiado em parte por Peter Thiel, não tem relacionamento com Palantir.
O que você acha até agora?
É seguro continuar com o Discord?
Embora não esteja claro até que ponto o Persona estava armazenando ou analisando dados do usuário, o fato de ter sido uma surpresa para tantos usuários foi suficiente para ver um aumento maciço de usuários tentando alternativas como o Teamspeak, que por sua vez aproveitou a oportunidade para criticar a segurança do Discord.
Pessoalmente, provavelmente não desinstalarei o Discord imediatamente (até porque preciso dele para escrever histórias como esta), mas pensaria duas vezes antes de enviar informações se me pedissem para verificar minha idade. Observe, no entanto, que o Discord pode usar métricas como seu e-mail de inscrição para adivinhar sua idade, mesmo que você não envie informações de identificação pessoal – é assim que ele planeja evitar incomodar a maioria de seus usuários com solicitações de verificação de idade.
Mas mesmo que você se desfaça do Discord, deve-se observar que, dependendo dos serviços que você utiliza em sua vida, você ainda poderá ter que interagir com o Persona. Embora o Discord não funcione mais com a empresa de verificação de idade, o Persona ainda tem relacionamentos ativos com sites de mídia social, incluindo Reddit e LinkedIn, jogos como Roblox e até mesmo o serviço de pagamento Square e a plataforma de gerenciamento de acesso Okta.
O mais notável pode ser o relacionamento do Persona com a OpenAI: parece ser assim que o código do Persona poderia ter vazado em primeiro lugar. Os hacktivistas que descobriram o vazamento encontraram nele significantes OpenAI – o que, de acordo com The Rage, significa que a OpenAI pode ter construído um banco de dados interno para acessar verificações de identidade Persona. Isso poderia explicar como os dados da Persona chegaram a um computador do governo dos EUA, apesar de a empresa supostamente não ter nenhum contrato governamental.
De qualquer forma, à medida que a Internet se torna mais conectada e a verificação de idade se torna mais comum, apertar um botão, como desinvestir em um único aplicativo, provavelmente não será mais suficiente para apagar completamente sua presença online. Vale a pena controlar o que você pode – o Discord permite excluir informações como mensagens enviadas ou canais do servidor – mas é legalmente obrigado a reter informações de compra e também opta por reter informações adicionais, como backups de banco de dados, mesmo após a exclusão da conta. Você pode ver uma lista completa de informações retidas do Discord no site da empresa.
Enquanto isso, confira estas 10 dicas do meu colega Pranay Parab para se manter seguro enquanto estiver online.
