Onderzoekers die de leeftijdsverificatiecontroles van Discord onderzoeken, zeggen dat ze een blootgestelde frontend hebben ontdekt die toebehoort aan Persona, de leverancier van identiteitsverificatie die door Discord wordt gebruikt. Deze onthulde een veel uitgebreidere surveillance- en financiële inlichtingenstack dan een eenvoudige tool voor "veiligheid van tieners".
Kort geleden meldden we dat Discord profielen zal beperken tot een voor tieners geschikte modus totdat je je leeftijd hebt geverifieerd. Dat betekent dat iedereen die Discord wil blijven gebruiken zoals voorheen, zijn of haar gezicht moet laten scannen – en het internet was daar allesbehalve blij mee.
Om deze scans te analyseren, maakt Discord gebruik van Persona Identities, Inc., een start-up op het gebied van biometrische identiteitsverificatie. Dit bedrijf biedt Know Your Customer (KYC) en Anti-Money Laundering (AML) oplossingen die gebruikmaken van biometrische identiteitscontroles om de leeftijd van een gebruiker te schatten.
Om de gevolgen voor de privacy aan te tonen, hebben onderzoekers dit nader onderzocht en een openbaar toegankelijke Persona-frontend gevonden op een door de Amerikaanse overheid geautoriseerde server, met 2.456 toegankelijke bestanden.
Dat heb je goed gelezen. Volgens onderzoeker "Celeste" bevond de blootgestelde code, die inmiddels is verwijderd, zich op een door de Amerikaanse overheid geautoriseerd eindpunt dat geïsoleerd lijkt te zijn geweest van de normale werkomgeving.
In die bestanden vonden de onderzoekers details over de uitgebreide surveillance die Persona-software uitvoert op zijn gebruikers. Naast het controleren van hun leeftijd, voert de software 269 verschillende verificatiecontroles uit, voert gezichtsherkenning uit aan de hand van watchlists en politiek prominente personen, screent "negatieve media" in 14 categorieën (waaronder terrorisme en spionage) en kent risico- en gelijkenisscores toe.
Persona verzamelt – en kan tot drie jaar bewaren – IP-adressen, browser- en apparaatvingerafdrukken, identiteitsnummers, telefoonnummers, namen, gezichten, plus een reeks 'selfie'-analyses zoals detectie van verdachte entiteiten, detectie van herhaalde poses en controles op inconsistenties in leeftijd.
Controleer of uw persoonlijke gegevens zijn blootgesteld.
In een tijd waarin leeftijdsverificatie een zeer actueel onderwerp is, is dit niet het soort nieuws dat voorstanders van privacy ervan zal overtuigen dat leeftijdsverificatie in ons belang is. Het versturen van gegevens die tijdens leeftijdsverificatiecontroles zijn verkregen naar gegevensmakelaars en buitenlandse overheden –naar verluidt is Persona getest door Discord in het Verenigd Koninkrijk– zal niet het niveau van vertrouwen creëren dat nodig is om gebruikers zich op hun gemak te laten voelen bij het ondergaan van dit soort controles.
Dit komt te midden van bredere vragen over of leeftijdsverificatie wel doet wat het zou moeten doen. Euronews keek naar het effect van het wereldwijd toonaangevende verbod van Australië op sociale media voor jongeren onder de 16 jaar. De nieuwe regels in Australië zijn pas zes weken van kracht, maar terwijl de internetregulator van het land zegt dat het ongeveer 4,7 miljoen accounts van jongeren onder de 16 jaar op platforms als TikTok, Instagram, Snapchat, YouTube, X, Twitch, Reddit en Threads heeft gesloten, beschrijven kinderen en ouders een heel andere realiteit. Uit interviews met tieners, ouders en onderzoekers blijkt dat veel kinderen nog steeds toegang hebben tot verboden apps door middel van eenvoudige workarounds.
Volgens The Rage heeft Discord verklaard dat het Persona niet langer zal gebruiken voor leeftijdsverificatie. Andere platforms die naar verluidt Persona gebruiken, zijn onder meer:
- Roblox: Gebruikt Persona's schatting van de leeftijd aan de hand van het gezicht en ID-verificatie als kern van zijn systeem voor 'leeftijdscontroles om te kunnen chatten'.
- OpenAI / ChatGPT: Het helpcentrum van OpenAI legt uit dat als je moet verifiëren dat je 18 jaar of ouder bent, "Persona een betrouwbaar extern bedrijf is dat we gebruiken om de leeftijd te verifiëren" en dat Persona om een live selfie en/of een identiteitsbewijs van de overheid kan vragen.
- Lime: De ride-sharingdienst maakt gebruik van aangepaste leeftijdsverificatieprocessen met Persona om te voldoen aan de unieke vereisten van elke regio.
We brengen niet alleen verslag uit over bedreigingen, maar helpen ook uw sociale media te beschermen.
Cyberbeveiligingsrisico's mogen nooit verder gaan dan een krantenkop. Bescherm uw sociale media-accounts metMalwarebytes Identity Theft .
