Atualização de 13 de março de 2026
A Persona contactou-nos para esclarecer que:
- O ambiente de testes exposto foi isolado dos sistemas de produção.
- Não foram divulgados dados pessoais.
- Nenhum cliente da Persona utiliza todas as 269 verificações possíveis.
- A Persona não colabora com nenhuma agência federal.
- A Persona apenas trata os dados, sendo que são os seus clientes que controlam a forma como a Persona trata e elimina esses dados.
Pode ler a explicação da Persona sobre o problema e a sua resposta nesta análise pós-incidente.
O que aconteceu?
Pesquisadores que investigam as verificações de idade do Discord afirmam ter descoberto um front-end exposto pertencente à Persona, o fornecedor de verificação de identidade utilizado pelo Discord. Isso revelou uma pilha de vigilância e inteligência financeira muito mais abrangente do que uma simples ferramenta de «segurança para adolescentes».
Há pouco tempo, informámos que o Discord limitará os perfis ao modo adequado para adolescentes até que a sua idade seja verificada. Isso significa que qualquer pessoa que queira continuar a usar o Discord como antes terá que permitir que ele escaneie o seu rosto — e a internet ficou longe de ficar satisfeita.
Para analisar essas digitalizações, a Discord utiliza a startup de verificação de identidade biométrica Persona Identities, Inc., uma empresa que oferece soluções Know Your Customer (KYC) e Anti-Money Laundering (AML) que se baseiam em verificações de identidade biométrica para estimar a idade do utilizador.
Para demonstrar as implicações em termos de privacidade, os investigadores analisaram mais detalhadamente e encontraram um frontend Persona exposto publicamente num servidor autorizado pelo governo dos EUA, com 2.456 ficheiros acessíveis.
É isso mesmo. Segundo a investigadora «Celeste», o código exposto, que entretanto foi removido, encontrava-se num terminal autorizado pelo governo dos EUA que parece ter sido isolado do seu ambiente de trabalho habitual. No entanto, a Persona esclareceu posteriormente, numa publicação no blogue, que «este domínio nunca teve clientes federais e não contém quaisquer dados de clientes».
Nesses ficheiros, os investigadores descobriram detalhes sobre a ampla vigilância que o software Persona é capaz de realizar. Para além de verificar a idade dos utilizadores, o software pode realizar 269 verificações distintas, efetuar reconhecimento facial em relação a listas de vigilância e a pessoas politicamente expostas, analisar «notícias negativas» em 14 categorias (incluindo terrorismo e espionagem) e atribuir pontuações de risco e de semelhança.
A Persona recolhe — e pode conservar por um período de até três anos — endereços IP, impressões digitais do navegador e do dispositivo, números de identificação oficial, números de telefone, nomes, rostos, além de uma série de análises de «selfies», como a deteção de entidades suspeitas, a deteção de repetição de poses e verificações de inconsistências de idade. Depois de «Celeste» ter publicado as suas conclusões online, o CEO da Persona, Rick Song, afirmou na plataforma de redes sociais X: «Verificamos a sua identidade de forma segura, guardamo-la apenas durante o tempo necessário em nome do cliente e, em seguida, eliminamo-la assim que possível.»
Numa altura em que a verificação da idade é um tema muito debatido, este não é o tipo de notícia que convença os defensores da privacidade de que a verificação da idade é do nosso interesse. Enviar dados obtidos durante as verificações de idade para corretores de dados e governos estrangeiros —alegadamente, o Persona foi testado pela Discord no Reino Unido— não irá criar o nível de confiança necessário para que os utilizadores se sintam confortáveis em submeter-se a este tipo de escrutínio.
Isto surge no meio de questões mais amplas sobre se a verificação da idade está realmente a fazer o que deveria. A Euronews analisou o efeito da proibição pioneira na Austrália do uso de redes sociais por menores de 16 anos. As novas regras da Austrália estão em vigor há apenas seis semanas, mas enquanto o regulador da Internet do país afirma ter encerrado cerca de 4,7 milhões de contas pertencentes a menores de 16 anos em plataformas como TikTok, Instagram, Snapchat, YouTube, X, Twitch, Reddit e Threads, as crianças e os pais descrevem uma realidade muito diferente. Entrevistas com adolescentes, pais e investigadores indicam que muitas crianças ainda estão a aceder a aplicações proibidas através de soluções alternativas simples.
De acordo com o The Rage, a Discord declarou que não continuará a usar o Persona para verificação de idade. No entanto, outras plataformas que supostamente usam o Persona incluem:
- Roblox: Utiliza a estimativa da idade facial e a verificação de identidade da Persona como base do seu sistema de «verificação de idade para conversar».
- OpenAI / ChatGPT: O centro de ajuda da OpenAI explica que, se precisar de comprovar que tem mais de 18 anos, «a Persona é uma empresa terceirizada de confiança que utilizamos para ajudar a verificar a idade», e que a Persona pode solicitar uma selfie ao vivo e/ou um documento de identificação oficial.
- Lime: O serviço de partilha de boleias implementa fluxos personalizados de verificação de idade com a Persona para atender aos requisitos exclusivos de cada região.
Os burlões não precisam de invadir o seu computador. Basta que clique uma vez.
Malwarebytes Identity Theft deteta atividades suspeitas antes que se tornem um problema.
