Исследователи, изучающие систему проверки возраста Discord, заявляют, что обнаружили уязвимый интерфейс, принадлежащий Persona, поставщику услуг по проверке личности, используемому Discord. Он показал, что это гораздо более обширная система наблюдения и финансовой разведки, чем простой инструмент «безопасности подростков».
Недавно мы сообщали, что Discord ограничит профили режимом, подходящим для подростков, до тех пор, пока вы не подтвердите свой возраст. Это означает, что любой, кто хочет продолжать использовать Discord как раньше, должен будет разрешить сканирование своего лица — и интернет был далеко не в восторге от этого.
Для анализа этих сканов Discord использует стартап Persona Identities, Inc., занимающийся биометрической проверкой личности. Это предприятие предлагает решения в области «Знай своего клиента» (KYC) и противодействия отмыванию денег (AML), которые основываются на биометрической проверке личности для оценки возраста пользователя.
Чтобы продемонстрировать последствия для конфиденциальности, исследователи более внимательно изучили ситуацию и обнаружили общедоступный интерфейс Persona на сервере, авторизованном правительством США, с 2456 доступными файлами.
Вы правильно прочитали. По словам исследователя «Селесты», уязвимый код, который в настоящее время был удален, находился на авторизованном правительством США конечной точке, которая, по-видимому, была изолирована от своей обычной рабочей среды.
В этих файлах исследователи обнаружили подробную информацию о масштабной слежке, которую программа Persona осуществляет за своими пользователями. Помимо проверки их возраста, программа выполняет 269 различных проверок, проводит распознавание лиц по спискам наблюдения и политически значимых лиц, отслеживает «негативные СМИ» по 14 категориям (включая терроризм и шпионаж) и присваивает оценки риска и схожести.
Persona собирает — и может хранить до трех лет — IP-адреса, отпечатки браузеров и устройств, номера государственных удостоверений личности, номера телефонов, имена, лица, а также набор аналитических данных «селфи», таких как обнаружение подозрительных объектов, обнаружение повторяющихся поз и проверка несоответствия возраста.
Проверьте, не были ли ваши личные данные раскрыты.
В то время, когда проверка возраста является очень актуальной темой, такая новость не способна убедить защитников конфиденциальности в том, что проверка возраста отвечает нашим интересам. Передача данных, полученных в ходе проверки возраста, брокерам данных и иностранным правительствам (по имеющимся данным, Persona тестировалась Discord в Великобритании) не позволит создать уровень доверия, необходимый для того, чтобы пользователи чувствовали себя комфортно, подвергаясь такого рода проверкам.
Это происходит на фоне более широких вопросов о том, действительно ли проверка возраста выполняет свою задачу. Euronews рассмотрел последствия введения в Австралии ведущего в мире запрета на использование социальных сетей для детей младше 16 лет. Новые правила в Австралии действуют всего шесть недель, но, хотя интернет-регулятор страны заявляет, что закрыл около 4,7 миллиона учетных записей детей младше 16 лет на таких платформах, как TikTok, Instagram, Snapchat, YouTube, X, Twitch, Reddit и Threads, дети и родители описывают совершенно иную реальность. Интервью с подростками, родителями и исследователями показывают, что многие дети по-прежнему получают доступ к запрещенным приложениям с помощью простых обходных путей.
Согласно The Rage, Discord заявил, что не будет продолжать использовать Persona для проверки возраста. Однако, среди других платформ, которые, по имеющимся данным, используют Persona, можно назвать:
- Roblox: Использует оценку возраста лица и проверку личности Persona в качестве основы своей системы «проверки возраста для чата».
- OpenAI / ChatGPT: В справочном центре OpenAI объясняется, что если вам необходимо подтвердить, что вам исполнилось 18 лет, «Persona — это надежная сторонняя компания, которую мы используем для подтверждения возраста», и что Persona может запросить селфи в режиме реального времени и/или удостоверение личности, выданное государством.
- Lime: Сервис по совместным поездкам использует настраиваемые процедуры проверки возраста с помощью Persona, чтобы соответствовать уникальным требованиям каждого региона.
Мы не просто сообщаем об угрозах — мы помогаем защитить ваши социальные сети
Риски кибербезопасности не должны выходить за рамки заголовков новостей. Защитите свои учетные записи в социальных сетях с помощьюMalwarebytes Identity Theft .
