Atualização de 13 de março de 2026
A Persona entrou em contato conosco para esclarecer que:
- O ambiente de testes exposto foi isolado dos sistemas de produção.
- Nenhum dado pessoal foi exposto.
- Nenhum cliente da Persona utiliza todas as 269 verificações possíveis.
- A Persona não trabalha com nenhuma agência federal.
- A Persona apenas processa dados, e são os clientes que controlam o tratamento e a exclusão desses dados pela Persona.
Você pode ler a explicação da Persona sobre o problema e sua resposta nesta análise pós-incidente.
O que aconteceu?
Pesquisadores que investigam as verificações de idade do Discord afirmam ter descoberto um front-end exposto pertencente à Persona, o fornecedor de verificação de identidade utilizado pelo Discord. Isso revelou uma estrutura de vigilância e inteligência financeira muito mais abrangente do que uma simples ferramenta de “segurança para adolescentes”.
Há pouco tempo, informamos que o Discord limitará os perfis ao modo adequado para adolescentes até que você verifique sua idade. Isso significa que qualquer pessoa que quiser continuar usando o Discord como antes terá que permitir que ele escaneie seu rosto — e a internet ficou longe de ficar satisfeita.
Para analisar essas digitalizações, a Discord utiliza a startup de verificação de identidade biométrica Persona Identities, Inc., uma empresa que oferece soluções Know Your Customer (KYC) e Anti-Money Laundering (AML) que se baseiam em verificações de identidade biométrica para estimar a idade do usuário.
Para demonstrar as implicações em termos de privacidade, os pesquisadores analisaram mais detalhadamente e encontraram um front-end Persona exposto publicamente em um servidor autorizado pelo governo dos EUA, com 2.456 arquivos acessíveis.
Você leu certo. De acordo com a pesquisadora “Celeste”, o código exposto, que já foi removido, estava hospedado em um terminal autorizado pelo governo dos EUA que parece ter sido isolado de seu ambiente de trabalho habitual. No entanto, a Persona esclareceu posteriormente, em uma publicação no blog, que “esse domínio nunca teve nenhum cliente federal e não contém nenhum dado de clientes”.
Nesses arquivos, os pesquisadores encontraram detalhes sobre a ampla vigilância que o software Persona é capaz de realizar. Além de verificar a idade dos usuários, o software pode realizar 269 verificações distintas, comparar rostos com listas de suspeitos e pessoas politicamente expostas, analisar “notícias negativas” em 14 categorias (incluindo terrorismo e espionagem) e atribuir pontuações de risco e similaridade.
A Persona coleta — e pode reter por até três anos — endereços IP, impressões digitais de navegadores e dispositivos, números de identificação oficial, números de telefone, nomes, rostos, além de uma série de análises de “selfies”, como detecção de entidades suspeitas, detecção de repetição de poses e verificações de inconsistências de idade. Depois que “Celeste” publicou suas descobertas online, o CEO da Persona, Rick Song, disse na plataforma de mídia social X: “Nós verificamos sua identidade com segurança, a retemos apenas pelo tempo necessário em nome do cliente e, em seguida, a excluímos assim que possível.”
Em um momento em que a verificação de idade é um tema muito polêmico, esse não é o tipo de notícia que convencerá os defensores da privacidade de que a verificação de idade é do nosso interesse. Enviar dados obtidos durante as verificações de idade para corretores de dados e governos estrangeiros —segundo relatos, o Persona foi testado pela Discord no Reino Unido— não instalará o nível de confiança necessário para que os usuários se sintam confortáveis em se submeter a esse tipo de escrutínio.
Isso ocorre em meio a questões mais amplas sobre se a verificação de idade está realmente cumprindo seu objetivo. A Euronews analisou o efeito da proibição pioneira na Austrália do uso de redes sociais por menores de 16 anos. As novas regras da Austrália estão em vigor há apenas seis semanas, mas, embora o órgão regulador da internet do país afirme ter encerrado cerca de 4,7 milhões de contas de menores de 16 anos em plataformas como TikTok, Instagram, Snapchat, YouTube, X, Twitch, Reddit e Threads, crianças e pais descrevem uma realidade muito diferente. Entrevistas com adolescentes, pais e pesquisadores indicam que muitas crianças ainda estão acessando aplicativos proibidos por meio de soluções alternativas simples.
De acordo com o The Rage, o Discord declarou que não continuará a usar o Persona para verificação de idade. No entanto, outras plataformas que supostamente usam o Persona incluem:
- Roblox: Utiliza a estimativa da idade facial e a verificação de identidade da Persona como base do seu sistema de “verificação de idade para conversar”.
- OpenAI / ChatGPT: O centro de ajuda da OpenAI explica que, se você precisar comprovar que tem mais de 18 anos, “a Persona é uma empresa terceirizada confiável que usamos para ajudar a verificar a idade” e que a Persona pode solicitar uma selfie ao vivo e/ou um documento de identidade oficial.
- Lime: O serviço de compartilhamento de caronas implementa fluxos personalizados de verificação de idade com a Persona para atender aos requisitos exclusivos de cada região.
Os golpistas não precisam invadir seu computador. Basta você clicar uma vez.
Malwarebytes Identity Theft detecta atividades suspeitas antes que se tornem um problema.
