Обновление от 13 марта 2026 года
Компания Persona связалась с нами, чтобы пояснить следующее:
- Тестовая среда была изолирована от производственных систем.
- Личные данные не были раскрыты.
- Ни один клиент Persona не использует все 269 возможных проверок.
- Persona не сотрудничает ни с одним федеральным ведомством.
- Persona занимается исключительно обработкой данных, а управление обработкой и удалением данных осуществляется клиентами Persona.
Вы можете ознакомиться с объяснением компании Persona по поводу данного инцидента и её реакцией в этом отчете по итогам инцидента.
Что случилось?
Исследователи, изучающие систему проверки возраста Discord, заявляют, что обнаружили уязвимый интерфейс, принадлежащий Persona, поставщику услуг по проверке личности, используемому Discord. Он показал, что это гораздо более обширная система наблюдения и финансовой разведки, чем простой инструмент «безопасности подростков».
Недавно мы сообщали, что Discord ограничит профили режимом, подходящим для подростков, до тех пор, пока вы не подтвердите свой возраст. Это означает, что любой, кто хочет продолжать использовать Discord как раньше, должен будет разрешить сканирование своего лица — и интернет был далеко не в восторге от этого.
Для анализа этих сканов Discord использует стартап Persona Identities, Inc., занимающийся биометрической проверкой личности. Это предприятие предлагает решения в области «Знай своего клиента» (KYC) и противодействия отмыванию денег (AML), которые основываются на биометрической проверке личности для оценки возраста пользователя.
Чтобы продемонстрировать последствия для конфиденциальности, исследователи более внимательно изучили ситуацию и обнаружили общедоступный интерфейс Persona на сервере, авторизованном правительством США, с 2456 доступными файлами.
Вы не ослышались. По словам исследователя «Селесты», утечка кода, который в настоящее время уже удален, произошла на конечной точке, авторизованной правительством США, которая, по всей видимости, была изолирована от обычной рабочей среды. Однако позже в своем блоге компания Persona пояснила, что «у этого домена никогда не было клиентов из федеральных структур и на нем не хранится никаких данных о клиентах».
В этих файлах исследователи обнаружили подробную информацию о широких возможностях программного обеспечения Persona в области слежения. Помимо проверки возраста, программа может выполнять 269 различных проверок, сравнивать лица с базами данных лиц, находящихся под наблюдением, и политически значимых лиц, отслеживать «негативные материалы в СМИ» по 14 категориям (включая терроризм и шпионаж), а также присваивать оценки риска и степени сходства.
Persona собирает — и может хранить до трёх лет — IP-адреса, отпечатки браузеров и устройств, номера государственных удостоверений личности, номера телефонов, имена, фотографии лиц, а также целый набор аналитических данных по «селфи», таких как обнаружение подозрительных субъектов, выявление повторяющихся поз и проверка несоответствия возраста. После того как «Селеста» опубликовала свои выводы в Интернете, генеральный директор Persona Рик Сонг заявил в социальной сети X: «Мы надежно проверяем вашу личность, храним эти данные только столько, сколько необходимо в интересах клиента, а затем удаляем их, как только это становится возможным».
Проверьте, не были ли ваши личные данные раскрыты.
В то время, когда проверка возраста является очень актуальной темой, такая новость не способна убедить защитников конфиденциальности в том, что проверка возраста отвечает нашим интересам. Передача данных, полученных в ходе проверки возраста, брокерам данных и иностранным правительствам (по имеющимся данным, Persona тестировалась Discord в Великобритании) не позволит создать уровень доверия, необходимый для того, чтобы пользователи чувствовали себя комфортно, подвергаясь такого рода проверкам.
Это происходит на фоне более широких вопросов о том, действительно ли проверка возраста выполняет свою задачу. Euronews рассмотрел последствия введения в Австралии ведущего в мире запрета на использование социальных сетей для детей младше 16 лет. Новые правила в Австралии действуют всего шесть недель, но, хотя интернет-регулятор страны заявляет, что закрыл около 4,7 миллиона учетных записей детей младше 16 лет на таких платформах, как TikTok, Instagram, Snapchat, YouTube, X, Twitch, Reddit и Threads, дети и родители описывают совершенно иную реальность. Интервью с подростками, родителями и исследователями показывают, что многие дети по-прежнему получают доступ к запрещенным приложениям с помощью простых обходных путей.
Согласно The Rage, Discord заявил, что не будет продолжать использовать Persona для проверки возраста. Однако, среди других платформ, которые, по имеющимся данным, используют Persona, можно назвать:
- Roblox: Использует оценку возраста лица и проверку личности Persona в качестве основы своей системы «проверки возраста для чата».
- OpenAI / ChatGPT: В справочном центре OpenAI объясняется, что если вам необходимо подтвердить, что вам исполнилось 18 лет, «Persona — это надежная сторонняя компания, которую мы используем для подтверждения возраста», и что Persona может запросить селфи в режиме реального времени и/или удостоверение личности, выданное государством.
- Lime: Сервис по совместным поездкам использует настраиваемые процедуры проверки возраста с помощью Persona, чтобы соответствовать уникальным требованиям каждого региона.
Мы не просто сообщаем об угрозах — мы помогаем защитить ваши социальные сети
Риски кибербезопасности не должны выходить за рамки заголовков новостей. Защитите свои учетные записи в социальных сетях с помощьюMalwarebytes Identity Theft .
