Nieuws, Privacy

[bijgewerkt] Onderzoekers melden dat Persona, leverancier van leeftijdsverificatiesystemen, zijn frontend onbeveiligd heeft gelaten

door Pieter Arntz | 20 februari, 2026
Leeftijdscontroles

Update 13 maart 2026

Persona heeft contact met ons opgenomen om het volgende te verduidelijken:

  • De blootgestelde testomgeving werd afgeschermd van de productiesystemen.
  • Er zijn geen persoonsgegevens openbaar gemaakt.
  • Geen enkele klant van Persona maakt gebruik van alle 269 mogelijke controles.
  • Persona werkt niet samen met federale instanties.
  • Persona verwerkt uitsluitend gegevens en het zijn de klanten die bepalen hoe Persona met deze gegevens omgaat en wanneer ze worden verwijderd.

Je kunt Persona’s toelichting op het incident en hun reactie hierop lezen in dit verslag achteraf

Wat is er gebeurd?

Onderzoekers die de leeftijdsverificatiecontroles van Discord onderzoeken, zeggen dat ze een blootgestelde frontend hebben ontdekt die toebehoort aan Persona, de leverancier van identiteitsverificatie die door Discord wordt gebruikt. Deze onthulde een veel uitgebreidere surveillance- en financiële inlichtingenstack dan een eenvoudige tool voor "veiligheid van tieners".

Kort geleden meldden we dat Discord profielen zal beperken tot een voor tieners geschikte modus totdat je je leeftijd hebt geverifieerd. Dat betekent dat iedereen die Discord wil blijven gebruiken zoals voorheen, zijn of haar gezicht moet laten scannen – en het internet was daar allesbehalve blij mee.

Om deze scans te analyseren, maakt Discord gebruik van Persona Identities, Inc., een start-up op het gebied van biometrische identiteitsverificatie. Dit bedrijf biedt Know Your Customer (KYC) en Anti-Money Laundering (AML) oplossingen die gebruikmaken van biometrische identiteitscontroles om de leeftijd van een gebruiker te schatten.

Om de gevolgen voor de privacy aan te tonen, hebben onderzoekers dit nader onderzocht en een openbaar toegankelijke Persona-frontend gevonden op een door de Amerikaanse overheid geautoriseerde server, met 2.456 toegankelijke bestanden.

Je leest het goed. Volgens onderzoeker „Celeste“ stond de blootgestelde code, die inmiddels is verwijderd, op een door de Amerikaanse overheid geautoriseerd eindpunt dat afgeschermd lijkt te zijn van de reguliere werkomgeving. Persona verduidelijkte later in een blogbericht echter dat „dit hele domein nooit federale klanten heeft gehad en geen klantgegevens bevat“.

In die bestanden vonden de onderzoekers details over de uitgebreide surveillancemogelijkheden van de Persona-software. Naast het controleren van de leeftijd kan de software 269 verschillende verificatiecontroles uitvoeren, gezichtsherkenning toepassen op basis van watchlists en politiek prominente personen, „negatieve berichtgeving“ in 14 categorieën (waaronder terrorisme en spionage) screenen, en risico- en gelijkenisscores toekennen.

Persona verzamelt – en kan tot drie jaar bewaren – IP-adressen, browser- en apparaat-fingerprints, officiële identificatienummers, telefoonnummers, namen, gezichten, plus een reeks ‘selfie’-analyses zoals het opsporen van verdachte entiteiten, het herkennen van herhaalde poses en controles op leeftijdsconsistentie. Nadat 'Celeste' haar bevindingen online had gepubliceerd, zei Rick Song, CEO van Persona, op het sociale mediaplatform X: "We verifiëren uw identiteit op een veilige manier, bewaren deze slechts zo lang als nodig is namens de klant, en verwijderen deze vervolgens zo snel mogelijk."

Controleer of uw persoonlijke gegevens zijn blootgesteld.

In een tijd waarin leeftijdsverificatie een zeer actueel onderwerp is, is dit niet het soort nieuws dat voorstanders van privacy ervan zal overtuigen dat leeftijdsverificatie in ons belang is. Het versturen van gegevens die tijdens leeftijdsverificatiecontroles zijn verkregen naar gegevensmakelaars en buitenlandse overheden –naar verluidt is Persona getest door Discord in het Verenigd Koninkrijk– zal niet het niveau van vertrouwen creëren dat nodig is om gebruikers zich op hun gemak te laten voelen bij het ondergaan van dit soort controles.

Dit komt te midden van bredere vragen over of leeftijdsverificatie wel doet wat het zou moeten doen. Euronews keek naar het effect van het wereldwijd toonaangevende verbod van Australië op sociale media voor jongeren onder de 16 jaar. De nieuwe regels in Australië zijn pas zes weken van kracht, maar terwijl de internetregulator van het land zegt dat het ongeveer 4,7 miljoen accounts van jongeren onder de 16 jaar op platforms als TikTok, Instagram, Snapchat, YouTube, X, Twitch, Reddit en Threads heeft gesloten, beschrijven kinderen en ouders een heel andere realiteit. Uit interviews met tieners, ouders en onderzoekers blijkt dat veel kinderen nog steeds toegang hebben tot verboden apps door middel van eenvoudige workarounds.

Volgens The Rage heeft Discord verklaard dat het Persona niet langer zal gebruiken voor leeftijdsverificatie. Andere platforms die naar verluidt Persona gebruiken, zijn onder meer:

  • Roblox: Gebruikt Persona's schatting van de leeftijd aan de hand van het gezicht en ID-verificatie als kern van zijn systeem voor 'leeftijdscontroles om te kunnen chatten'.
  • OpenAI / ChatGPT: Het helpcentrum van OpenAI legt uit dat als je moet verifiëren dat je 18 jaar of ouder bent, "Persona een betrouwbaar extern bedrijf is dat we gebruiken om de leeftijd te verifiëren" en dat Persona om een live selfie en/of een identiteitsbewijs van de overheid kan vragen.
  • Lime: De ride-sharingdienst maakt gebruik van aangepaste leeftijdsverificatieprocessen met Persona om te voldoen aan de unieke vereisten van elke regio.

We brengen niet alleen verslag uit over bedreigingen, maar helpen ook uw sociale media te beschermen.

Cyberbeveiligingsrisico's mogen nooit verder gaan dan een krantenkop. Bescherm uw sociale media-accounts metMalwarebytes Identity Theft .

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Nieuws
Onderbrekingsscript

ClickFix vindt een nieuwe manier om Macs te infecteren

April 10, 2026

De campagnes van ClickFix hebben een manier gevonden om de waarschuwingen van macOS Tahoe tegen het plakken van commando’s in de Terminal te omzeilen. Ze maken in plaats daarvan gebruik van Script Editor.

Nieuws
Amazon

Oplichters doen zich voor als Amazon om je account te stelen

April 9, 2026

Er doet zich een nieuwe golf van Amazon voor, die zowel e-mailboxen als sms-berichten treft.

AI
Het logo van de MyLovely.ai-app

Een lek in een NSFW-app onthult 70.000 meldingen die gekoppeld zijn aan individuele gebruikers.

April 9, 2026

MyLovelyAI heeft persoonlijke gegevens, expliciete opdrachten en afbeeldingen van meer dan 100.000 gebruikers gelekt, waardoor velen het risico lopen op sextortion en doxxing.

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting