Trzej badacze analizujący mechanizmy weryfikacji wieku na platformie Discord twierdzą, że odkryli niezabezpieczony frontend należący do firmy Persona – dostawcy usług weryfikacji tożsamości, z którego korzysta Discord. Odkrycie to ujawniło znacznie bardziej rozbudowany system inwigilacji i wywiadu finansowego niż tylko proste narzędzie do „ochrony nastolatków”.
Niedawno informowaliśmy, że Discord ograniczy profile do trybu odpowiedniego dla nastolatków, dopóki użytkownik nie zweryfikuje swojego wieku. Oznacza to, że każdy, kto chciałby nadal korzystać z Discorda tak jak wcześniej, musiałby pozwolić na zeskanowanie swojej twarzy – a internet bynajmniej nie był z tego powodu zadowolony.
Do analizy tych skanów Discord wykorzystuje startup zajmujący się biometryczną weryfikacją tożsamości, Persona Identities, Inc. Jest to przedsięwzięcie oferujące rozwiązania z zakresu Know Your Customer (KYC – Poznaj Swojego Klienta) oraz przeciwdziałania praniu brudnych pieniędzy (AML), które opierają się na biometrycznych kontrolach tożsamości w celu oszacowania wieku użytkownika.
Skala inwigilacji wychodzi na jaw
Aby zademonstrować konsekwencje dla prywatności, badacze przyjrzeli się sprawie bliżej i znaleźli publicznie dostępny (niezabezpieczony) frontend Persony na autoryzowanym przez rząd USA serwerze, z 2456 dostępnymi plikami.
Dobrze czytasz. Według badaczy ujawniony kod, który został już usunięty, znajdował się w autoryzowanym przez rząd USA punkcie końcowym (endpoint), który wydaje się być odizolowany od swojego regularnego środowiska pracy.
W tych plikach badacze znaleźli szczegóły na temat rozległej inwigilacji, jaką oprogramowanie Persona prowadzi wobec swoich użytkowników. Poza sprawdzaniem wieku, oprogramowanie wykonuje 269 odrębnych kontroli weryfikacyjnych, uruchamia rozpoznawanie twarzy w oparciu o listy obserwacyjne i wykazy zajmujących eksponowane stanowiska polityczne, przeszukuje „negatywne informacje w mediach” w 14 kategoriach (w tym terroryzm i szpiegostwo) oraz przypisuje oceny ryzyka i podobieństwa.
Persona gromadzi – i może przechowywać nawet przez trzy lata – takie dane jak:
- Adresy IP
- Cyfrowe odciski palców przeglądarek i urządzeń (fingerprints)
- Numery państwowych dokumentów tożsamości
- Numery telefonów
- Nazwiska i wizerunki twarzy
Do tego dochodzi cały zestaw danych analitycznych z „selfie”, takich jak wykrywanie podejrzanych podmiotów, wykrywanie powtarzania póz oraz sprawdzanie niespójności wieku.
Weryfikacja wieku a kwestia zaufania
W czasach, gdy weryfikacja wieku jest bardzo gorącym tematem, nie są to wieści, które przekonają obrońców prywatności, że weryfikacja wieku leży w naszym najlepszym interesie. Wysyłanie danych uzyskanych podczas kontroli wieku do brokerów danych i obcych rządów – podobno Persona była testowana przez Discord w Wielkiej Brytanii – nie zbuduje poziomu zaufania niezbędnego, by użytkownicy czuli się komfortowo, poddając się tego rodzaju kontroli.
Dzieje się to w obliczu szerszych pytań o to, czy weryfikacja wieku faktycznie spełnia swoje zadanie. Serwis Euronewsprzyjrzał się skutkom wiodącego na świecie zakazu korzystania z mediów społecznościowych przez osoby poniżej 16. roku życia, wprowadzonego w Australii. Nowe australijskie przepisy obowiązują dopiero od sześciu tygodni, ale chociaż krajowy regulator internetu twierdzi, że zamknął około 4,7 miliona kont należących do osób poniżej 16. roku życia na platformach takich jak TikTok, Instagram, Snapchat, YouTube, X, Twitch, Reddit i Threads, to dzieci i rodzice opisują zupełnie inną rzeczywistość. Wywiady z nastolatkami, rodzicami i badaczami wskazują, że wiele dzieci nadal uzyskuje dostęp do zakazanych aplikacji za pomocą prostych obejść.
Inne platformy korzystające z Persony
Według portalu The Rage, Discord oświadczył, że nie będzie nadal korzystał z usług firmy Persona do weryfikacji wieku. Jednakże wśród innych platform, które według doniesień nadal korzystają z Persony, znajdują się m.in.:
- Roblox: Wykorzystuje oparte na analizie twarzy szacowanie wieku oraz weryfikację dokumentów tożsamości firmy Persona jako rdzeń swojego systemu „weryfikacji wieku dla czatu”.
- OpenAI / ChatGPT: Centrum pomocy OpenAI wyjaśnia, że jeśli musisz zweryfikować ukończenie 18 lat, „Persona to zaufana firma zewnętrzna, której używamy do pomocy w weryfikacji wieku”, i że Persona może poprosić o zrobienie selfie na żywo i/lub przesłanie państwowego dokumentu tożsamości.
- Lime: Usługa wypożyczania pojazdów wdraża niestandardowe procesy weryfikacji wieku we współpracy z firmą Persona, aby spełnić unikalne wymagania prawne każdego regionu.
