Notícias, Privacy

[atualizado] A empresa de verificação de idade Persona deixou seu front-end exposto, afirmam pesquisadores

por Pieter Arntz | 20 de fevereiro, 2026
Verificações de idade

Atualização de 13 de março de 2026

A Persona entrou em contato conosco para esclarecer que:

  • O ambiente de testes exposto foi isolado dos sistemas de produção.
  • Nenhum dado pessoal foi exposto.
  • Nenhum cliente da Persona utiliza todas as 269 verificações possíveis.
  • A Persona não trabalha com nenhuma agência federal.
  • A Persona apenas processa dados, e são os clientes que controlam o tratamento e a exclusão desses dados pela Persona.

Você pode ler a explicação da Persona sobre o problema e sua resposta nesta análise pós-incidente

O que aconteceu?

Pesquisadores que investigam as verificações de idade do Discord afirmam ter descoberto um front-end exposto pertencente à Persona, o fornecedor de verificação de identidade utilizado pelo Discord. Isso revelou uma estrutura de vigilância e inteligência financeira muito mais abrangente do que uma simples ferramenta de “segurança para adolescentes”.

Há pouco tempo, informamos que o Discord limitará os perfis ao modo adequado para adolescentes até que você verifique sua idade. Isso significa que qualquer pessoa que quiser continuar usando o Discord como antes terá que permitir que ele escaneie seu rosto — e a internet ficou longe de ficar satisfeita.

Para analisar essas digitalizações, a Discord utiliza a startup de verificação de identidade biométrica Persona Identities, Inc., uma empresa que oferece soluções Know Your Customer (KYC) e Anti-Money Laundering (AML) que se baseiam em verificações de identidade biométrica para estimar a idade do usuário.

Para demonstrar as implicações em termos de privacidade, os pesquisadores analisaram mais detalhadamente e encontraram um front-end Persona exposto publicamente em um servidor autorizado pelo governo dos EUA, com 2.456 arquivos acessíveis.

Você leu certo. De acordo com a pesquisadora “Celeste”, o código exposto, que já foi removido, estava hospedado em um terminal autorizado pelo governo dos EUA que parece ter sido isolado de seu ambiente de trabalho habitual. No entanto, a Persona esclareceu posteriormente, em uma publicação no blog, que “esse domínio nunca teve nenhum cliente federal e não contém nenhum dado de clientes”.

Nesses arquivos, os pesquisadores encontraram detalhes sobre a ampla vigilância que o software Persona é capaz de realizar. Além de verificar a idade dos usuários, o software pode realizar 269 verificações distintas, comparar rostos com listas de suspeitos e pessoas politicamente expostas, analisar “notícias negativas” em 14 categorias (incluindo terrorismo e espionagem) e atribuir pontuações de risco e similaridade.

A Persona coleta — e pode reter por até três anos — endereços IP, impressões digitais de navegadores e dispositivos, números de identificação oficial, números de telefone, nomes, rostos, além de uma série de análises de “selfies”, como detecção de entidades suspeitas, detecção de repetição de poses e verificações de inconsistências de idade. Depois que “Celeste” publicou suas descobertas online, o CEO da Persona, Rick Song, disse na plataforma de mídia social X: “Nós verificamos sua identidade com segurança, a retemos apenas pelo tempo necessário em nome do cliente e, em seguida, a excluímos assim que possível.”

Verifique se seus dados pessoais foram expostos.

Em um momento em que a verificação de idade é um tema muito polêmico, esse não é o tipo de notícia que convencerá os defensores da privacidade de que a verificação de idade é do nosso interesse. Enviar dados obtidos durante as verificações de idade para corretores de dados e governos estrangeiros —segundo relatos, o Persona foi testado pela Discord no Reino Unido— não instalará o nível de confiança necessário para que os usuários se sintam confortáveis em se submeter a esse tipo de escrutínio.

Isso ocorre em meio a questões mais amplas sobre se a verificação de idade está realmente cumprindo seu objetivo. A Euronews analisou o efeito da proibição pioneira na Austrália do uso de redes sociais por menores de 16 anos. As novas regras da Austrália estão em vigor há apenas seis semanas, mas, embora o órgão regulador da internet do país afirme ter encerrado cerca de 4,7 milhões de contas de menores de 16 anos em plataformas como TikTok, Instagram, Snapchat, YouTube, X, Twitch, Reddit e Threads, crianças e pais descrevem uma realidade muito diferente. Entrevistas com adolescentes, pais e pesquisadores indicam que muitas crianças ainda estão acessando aplicativos proibidos por meio de soluções alternativas simples.

De acordo com o The Rage, o Discord declarou que não continuará a usar o Persona para verificação de idade. No entanto, outras plataformas que supostamente usam o Persona incluem:

  • Roblox: Utiliza a estimativa da idade facial e a verificação de identidade da Persona como base do seu sistema de “verificação de idade para conversar”.
  • OpenAI / ChatGPT: O centro de ajuda da OpenAI explica que, se você precisar comprovar que tem mais de 18 anos, “a Persona é uma empresa terceirizada confiável que usamos para ajudar a verificar a idade” e que a Persona pode solicitar uma selfie ao vivo e/ou um documento de identidade oficial.
  • Lime: O serviço de compartilhamento de caronas implementa fluxos personalizados de verificação de idade com a Persona para atender aos requisitos exclusivos de cada região.

Não nos limitamos a relatar ameaças – ajudamos a proteger suas redes sociais.

Os riscos de segurança cibernética nunca devem ir além das manchetes. Proteja suas contas nas redes sociais usandoMalwarebytes Identity Theft .

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

Notícias
Interrupção do script

O ClickFix encontra uma nova forma de infectar Macs

Abril 10, 2026

As campanhas do ClickFix encontraram uma maneira de contornar os avisos do macOS Tahoe contra a colagem de comandos no Terminal. Em vez disso, estão usando o Script Editor.

Notícias
Local de Amazon

Golpistas se passam por Amazon para roubar sua conta

Abril 9, 2026

Uma nova onda de golpes Amazon está se espalhando, atingindo tanto as caixas de entrada de e-mail quanto as mensagens de texto.

IA
Logotipo do aplicativo MyLovely.ai

Vazamento de aplicativo NSFW expõe 70.000 avisos vinculados a usuários individuais.

Abril 9, 2026

O MyLovelyAI vazou dados pessoais, solicitações explícitas e imagens de mais de 100 mil usuários, expondo muitos deles a chantagem sexual e à divulgação de informações pessoais.

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes