लोकप्रिय चॅट प्लॅटफॉर्म Discord पुन्हा एकदा प्रकाशझोतात आला आहे जेव्हा सुरक्षा संशोधकांनी Persona शी कनेक्ट केलेल्या सार्वजनिकपणे प्रवेश करण्यायोग्य फायली उघड केल्या आहेत, एक ओळख पडताळणी फर्म कंपनीने वय-तपासणी वैशिष्ट्यांची चाचणी घेण्यासाठी थोडक्यात वापरली. ऑनलाइन प्लॅटफॉर्म वापरकर्त्याचा डेटा कसा व्यवस्थापित करतात याबद्दलच्या निष्कर्षांनी पुन्हा चिंता निर्माण केली आहे — विशेषत: जेव्हा ती जबाबदारी बाहेरील विक्रेत्यांसह सामायिक केली जाते.
या शोधामध्ये पारंपारिक हॅकचा समावेश नव्हता. त्याऐवजी, संशोधकांनी नोंदवले की पर्सोनाच्या पडताळणी प्रणालीशी संबंधित हजारो फाइल्स विशेष साधने किंवा शोषणांच्या गरजेशिवाय ऑनलाइन प्रवेशयोग्य आहेत. प्रवेशाच्या सुलभतेमुळे पारदर्शकता, पर्यवेक्षण आणि आधुनिक ओळख पडताळणी प्रणालींच्या जटिलतेबद्दल वादविवाद वाढले आहेत.
सरकारी-अधिकृत एंडपॉईंटवर हजारो फायली सापडल्या
त्यांचे निष्कर्ष ऑनलाइन प्रकाशित करणाऱ्या संशोधकांच्या मते, पर्सोनाच्या पायाभूत सुविधांशी जोडलेल्या जवळपास 2,500 फाईल्स यूएस सरकारच्या फेडरल रिस्क अँड ऑथोरायझेशन मॅनेजमेंट प्रोग्रामशी संबंधित एंडपॉईंटद्वारे प्रवेशयोग्य होत्या, ज्याला सामान्यतः फेडरल रिस्क अँड ऑथोरायझेशन मॅनेजमेंट प्रोग्राम (FedRAMP) म्हणून ओळखले जाते. एकूण, ते म्हणाले की पाहण्यासाठी अंदाजे 53 मेगाबाइट डेटा उपलब्ध आहे.
उघड झालेल्या सामग्रीमध्ये कथितपणे असंपीडित फ्रंट-एंड कोड समाविष्ट आहे — मूलत: वापरकर्त्यांच्या ब्राउझरमध्ये चालणाऱ्या वेब अनुप्रयोगाचा दृश्यमान भाग. या कोडचे परीक्षण करून, संशोधकांनी सांगितले की ते पर्सोनाची प्रणाली कशी संरचित होती आणि ती कोणत्या प्रकारच्या तपासण्या करण्यास सक्षम आहे हे पाहू शकतात.
फायलींमध्ये वर्णन केलेल्या वैशिष्ट्यांपैकी वॉचलिस्ट विरूद्ध चेहर्यावरील ओळख तुलना, राजकीयदृष्ट्या उघड झालेल्या व्यक्तींच्या डेटाबेस (PEPs) विरुद्ध स्क्रीनिंग आणि दहशतवाद आणि हेरगिरी यासह 14 श्रेणींमध्ये नकारात्मक किंवा “प्रतिकूल माध्यम” साठी स्कॅन होते. वापरकर्त्याच्या डेटावर आधारित जोखीम स्कोअर आणि समानता स्कोअर नियुक्त करणे, 269 पर्यंत भिन्न पडताळणी तपासणी करण्यास सक्षम असे सिस्टमचे वर्णन केले गेले.
बँकिंग, आर्थिक अनुपालन आणि कर्मचाऱ्यांची पार्श्वभूमी स्क्रीनिंगमध्ये या प्रकारचे धनादेश सामान्य असले तरी, सामाजिक व्यासपीठावर वापरकर्त्याच्या वयाची पुष्टी करण्यासारख्या नित्यक्रमासाठी अशा विस्तृत क्षमता आवश्यक आहेत का असा प्रश्न समीक्षकांनी विचारला.
संशोधकांनी असेही निदर्शनास आणून दिले की फायली सापडलेल्या अंतिम बिंदूमध्ये संवेदनशील ऑपरेशनल वातावरण सूचित करणारे संदर्भ समाविष्ट असल्याचे दिसून आले. कोणत्याही थेट पुराव्याने वैयक्तिक डेटाचा गैरवापर दर्शविला नसला तरीही त्या तपशीलाने चिंता आणखी वाढवली.
डिसकॉर्ड आणि पर्सोना यांच्यातील संक्षिप्त चाचणी
पर्सोना आणि डिसकॉर्ड दोघांनीही पुष्टी केली की त्यांची भागीदारी अल्पायुषी होती, एक महिन्यापेक्षा कमी काळ टिकली. हे सहकार्य एका मर्यादित चाचणीचा एक भाग होता ज्याचा उद्देश Discord चे वय पडताळणी साधने मजबूत करण्याच्या उद्देशाने होते कारण कंपनीला अल्पवयीन मुलांसाठी ऑनलाइन सुरक्षितता सुधारण्यासाठी वाढत्या नियामक आणि सार्वजनिक दबावाचा सामना करावा लागतो.
डिसकॉर्डने सांगितले की वापरकर्त्यांचा फक्त एक छोटा गट चाचणीमध्ये सहभागी झाला होता. चाचणी दरम्यान सबमिट केलेली माहिती हटवण्यापूर्वी सात दिवसांपर्यंत संग्रहित केली जाऊ शकते.
Persona, जी OpenAI, Lime आणि Roblox सारख्या कंपन्यांची त्याच्या ग्राहकांमध्ये गणना करते, अनेक ओळख सेवा पुरवते. यामध्ये वय तपासणे, तुमचे ग्राहक जाणून घेणे (KYC) पडताळणी आणि अँटी मनी लाँडरिंग (AML) स्क्रीनिंग यांचा समावेश आहे. कंपनीला फाऊंडर्स फंडचा पाठिंबा आहे, पीटर थिएलने सह-स्थापलेली उद्यम फर्म.
तृतीय-पक्ष डेटा हाताळणीबद्दल चिंताजनक चिंता
एका वेगळ्या विक्रेत्याचा समावेश असलेल्या पूर्वीच्या घटनेनंतर नवीनतम वाद निर्माण झाला आहे. ऑक्टोबर 2025 मध्ये, डिस्कॉर्डने खुलासा केला की हॅकर्सनी 70,000 हून अधिक वापरकर्त्यांच्या ओळख दस्तऐवजांमध्ये प्रवेश केला होता. त्या वापरकर्त्यांनी मागील वय-सत्यापन प्रक्रियेचा भाग म्हणून सरकारी आयडी सबमिट केले होते.
डिसॉर्डने त्यावेळी स्पष्ट केले की त्याच्या स्वतःच्या सिस्टमचे उल्लंघन झाले नाही. त्याऐवजी, तडजोड 5CA येथे झाली, कंपनीच्या ग्राहक सेवा आणि विश्वास आणि सुरक्षितता ऑपरेशनला समर्थन देणारा तृतीय-पक्ष प्रदाता. ज्या वापरकर्त्यांनी त्या संघांशी संवाद साधला होता तेच प्रभावित झाले आणि प्रभावित व्यक्तींना सूचित केले गेले.
तरीही, या भागाने अनेक वापरकर्त्यांना बाह्य भागीदारांसह किती वैयक्तिक माहिती सामायिक केली जात होती आणि ती किती सुरक्षितपणे संग्रहित केली जात होती याबद्दल अस्वस्थ केले.
टीन सेफ्टी डिफॉल्ट ट्रिगर बॅकलॅश
या महिन्याच्या सुरुवातीला, Discord ने पॉलिसी शिफ्ट सादर केली जी जागतिक स्तरावर किशोर-सुरक्षा सेटिंग्जमध्ये सर्व खाती डीफॉल्ट करेल. विशिष्ट वय-प्रतिबंधित सर्व्हर किंवा वैशिष्ट्यांमध्ये प्रवेश शोधणाऱ्या वापरकर्त्यांना त्यांचे वय सत्यापित करणे आवश्यक आहे, ज्यामध्ये पर्सोना सुरुवातीला सत्यापन भागीदार म्हणून नाव देण्यात आले आहे.
या घोषणेवर जोरदार टीका झाली. काही वापरकर्त्यांनी 2025 डेटा उल्लंघनाकडे लक्ष वेधले आणि प्रश्न केला की वय पडताळणी आवश्यकता वाढवण्यामुळे अधिक लोकांना गोपनीयतेच्या जोखमीचा सामना करावा लागेल.
एका दिवसाच्या आत, Discord ने स्पष्ट केले की प्रतिबंधित जागांवर प्रवेश करण्याचा प्रयत्न करणाऱ्यांशिवाय वय पडताळणी पर्यायी राहील. विद्यमान खाते डेटाच्या आधारे बहुतेक वापरकर्त्यांच्या वयाचा अंदाज लावू शकतो असे कंपनीने म्हटले आहे. वापरकर्त्यांसाठी पडताळणी करणे आवश्यक आहे, पर्यायांमध्ये सरकारी आयडी अपलोड करणे किंवा व्हिडिओ सेल्फी सबमिट करणे समाविष्ट आहे.
डिसकॉर्डने यावर जोर दिला की चेहर्याचे स्कॅन वापरकर्त्याच्या डिव्हाइसवर राहतील आणि कंपनीला फक्त वयाची पुष्टी मिळेल – तपशील ओळखत नाही. त्यात असेही म्हटले आहे की तृतीय-पक्ष विक्रेत्यांद्वारे प्रक्रिया केलेले आयडी दस्तऐवज पटकन हटवले जातील, अनेकदा पडताळणीनंतर लगेच.
तथापि, कंपनीच्या FAQ पृष्ठाच्या संग्रहित आवृत्त्यांनी सूचित केले आहे की काही प्रायोगिक प्रकरणांमध्ये – विशेषतः यूके वापरकर्त्यांचा समावेश आहे – सबमिट केलेली माहिती हटवण्यापूर्वी सात दिवसांपर्यंत संग्रहित केली जाऊ शकते. त्या विसंगतीमुळे डेटा किती काळ टिकवून ठेवता येईल याविषयी संभ्रम निर्माण झाला.
डिस्कॉर्डचे मुख्य तंत्रज्ञान अधिकारी, स्टॅनिस्लाव विष्णेव्स्की यांनी सार्वजनिकपणे कबूल केले की रोलआउटमुळे विवाद निर्माण होण्याची अपेक्षा होती परंतु वापरकर्त्याच्या सुरक्षिततेसाठी मजबूत सत्यापन साधने आवश्यक आहेत.
पर्सोना मागे ढकलतो
पर्सोनाचे सीईओ आणि सह-संस्थापक, रिक सॉन्ग यांनी उघड केलेल्या फायली गंभीर असुरक्षिततेचे प्रतिनिधित्व करत असल्याची सूचना नाकारली. त्यांनी त्यांचे वर्णन असंपीडित फ्रंट-एंड संसाधने म्हणून केले जे सामान्यतः मानक ऑपरेशन्स दरम्यान वापरकर्त्यांच्या ब्राउझरवर वितरित केले जातात.
सॉन्गने कबूल केले की अशा फायली उघडपणे प्रवेश करण्यायोग्य सोडणे आदर्श नाही परंतु त्यांच्या उपस्थितीने संवेदनशील वैयक्तिक डेटा उघड केला नाही असा युक्तिवाद केला. ते म्हणाले की कंपनीने या समस्येला सुरक्षा त्रुटी म्हणून वर्गीकृत केले नाही.
त्यांनी असेही सांगितले की डिसकॉर्ड चाचणी दरम्यान प्रक्रिया केलेला कोणताही डेटा पडताळणीनंतर लगेचच दुरुस्त केला जातो आणि नमूद केलेल्या विंडोच्या पलीकडे ठेवला जात नाही. पर्सोना, त्यांनी जोडले, चेहर्याचे बायोमेट्रिक्स आर्थिक रेकॉर्ड किंवा कायद्याची अंमलबजावणी डेटाबेसशी जोडत नाही.
सरकारी एजन्सीशी संबंधांबद्दलच्या अनुमानांना संबोधित करताना, सॉन्ग म्हणाले की पर्सोनाचा इमिग्रेशन आणि कस्टम्स एन्फोर्समेंट (ICE), पलांटीर किंवा गुप्तचर संस्थांशी कोणताही संबंध नाही. कंपनी FedRAMP अधिकृततेचा पाठपुरावा करत आहे, परंतु ते म्हणाले की प्रयत्न सोशल मीडिया वय तपासण्याऐवजी कार्यबल ओळख समाधानांवर केंद्रित आहे.
Comments are closed.