Naukowcy badający system weryfikacji wieku Discord twierdzą, że odkryli narażony interfejs użytkownika należący do Persona, dostawcy usług weryfikacji tożsamości wykorzystywanego przez Discord. Ujawniło to znacznie bardziej rozbudowany system nadzoru i analizy finansowej niż proste narzędzie służące „bezpieczeństwu nastolatków”.
Niedawno informowaliśmy, że Discord ograniczy profile do trybu odpowiedniego dla nastolatków, dopóki nie zweryfikujesz swojego wieku. Oznacza to, że każdy, kto chce nadal korzystać z Discorda tak jak dotychczas, będzie musiał poddać się skanowaniu twarzy — co spotkało się z niezadowoleniem internautów.
W celu analizy tych skanów Discord korzysta z usług start-upu Persona Identities, Inc., zajmującego się weryfikacją tożsamości biometrycznej. Jest to przedsięwzięcie oferujące rozwiązania w zakresie identyfikacji klientów (KYC) i przeciwdziałania praniu pieniędzy (AML), które opierają się na biometrycznej weryfikacji tożsamości w celu oszacowania wieku użytkownika.
Aby pokazać konsekwencje dla prywatności, naukowcy przyjrzeli się bliżej i znaleźli publicznie dostępny interfejs Persona na serwerze autoryzowanym przez rząd USA, zawierający 2456 dostępnych plików.
Tak, dobrze przeczytałeś. Według badaczki „Celeste” ujawniony kod, który został już usunięty, znajdował się w punkcie końcowym autoryzowanym przez rząd Stanów Zjednoczonych, który wydaje się być odizolowany od zwykłego środowiska pracy.
W tych plikach naukowcy znaleźli szczegółowe informacje na temat szeroko zakrojonej inwigilacji użytkowników przeprowadzanej przez oprogramowanie Persona. Oprócz sprawdzania wieku użytkowników oprogramowanie przeprowadza 269 różnych kontroli weryfikacyjnych, porównuje twarze z listami osób poszukiwanych i osób zajmujących eksponowane stanowiska polityczne, sprawdza „niekorzystne informacje w mediach” w 14 kategoriach (w tym terroryzm i szpiegostwo) oraz przypisuje oceny ryzyka i podobieństwa.
Persona gromadzi — i może przechowywać przez okres do trzech lat — adresy IP, odciski palców przeglądarek i urządzeń, numery identyfikacyjne wydane przez organy rządowe, numery telefonów, nazwiska, twarze, a także szereg analiz „selfie”, takich jak wykrywanie podejrzanych podmiotów, wykrywanie powtarzających się pozycji i sprawdzanie niespójności wieku.
Sprawdź, czy Twoje dane osobowe zostały ujawnione.
W czasach, gdy weryfikacja wieku jest bardzo gorącym tematem, nie jest to wiadomość, która przekona obrońców prywatności, że weryfikacja wieku leży w naszym najlepszym interesie. Przesyłanie danych uzyskanych podczas kontroli weryfikujących wiek do brokerów danych i zagranicznych rządów —podobno Persona została przetestowana przez Discord w Wielkiej Brytanii— nie zapewni poziomu zaufania niezbędnego, aby użytkownicy czuli się komfortowo, poddając się tego rodzaju kontroli.
Pojawia się to w kontekście szerszych pytań dotyczących tego, czy weryfikacja wieku faktycznie spełnia swoje zadanie. Euronews przyjrzał się skutkom wprowadzonego w Australii, wiodącego na świecie, zakazu korzystania z mediów społecznościowych przez osoby poniżej 16 roku życia. Nowe przepisy obowiązują w Australii dopiero od sześciu tygodni, ale chociaż krajowy organ regulacyjny ds. internetu twierdzi, że zamknął około 4,7 mln kont należących do osób poniżej 16 roku życia na platformach takich jak TikTok, Instagram, Snapchat, YouTube, X, Twitch, Reddit i Threads, dzieci i rodzice opisują zupełnie inną rzeczywistość. Wywiady z nastolatkami, rodzicami i badaczami wskazują, że wiele dzieci nadal ma dostęp do zakazanych aplikacji dzięki prostym obejściom.
Według serwisu The Rage, Discord oświadczył, że nie będzie już korzystał z Persona do weryfikacji wieku. Jednak inne platformy, które podobno korzystają z Persona, to między innymi:
- Roblox: Wykorzystuje funkcję Persona do szacowania wieku twarzy i weryfikacji tożsamości jako podstawę swojego systemu „kontroli wieku przed rozpoczęciem czatu”.
- OpenAI / ChatGPT: Centrum pomocy OpenAI wyjaśnia, że jeśli konieczne jest potwierdzenie pełnoletności, „Persona jest zaufaną firmą zewnętrzną, z której usług korzystamy w celu weryfikacji wieku” i że Persona może poprosić o przesłanie aktualnego zdjęcia selfie i/lub dokumentu tożsamości wydanego przez organ państwowy.
- Lime: Usługa współdzielenia przejazdów wykorzystuje niestandardowe procedury weryfikacji wieku za pomocą Persona, aby spełnić specyficzne wymagania każdego regionu.
Nie tylko informujemy o zagrożeniach – pomagamy chronić Twoje media społecznościowe.
Ryzyko związane z cyberbezpieczeństwem nie powinno nigdy wykraczać poza nagłówki gazet. Chroń swoje konta w mediach społecznościowych, korzystając zMalwarebytes Identity Theft .
