Biometrijska lica na društvenim mrežama

Istraživači koji su analizirali Discordov sistem verifikacije dobi otkrili su da je frontend kompanije Persona, dobavljača za biometrijsku identifikaciju, bio javno izložen. Umjesto jednostavnog alata za provjeru godina radi sigurnosti tinejdžera, pronađeni podaci ukazuju na znatno širi nadzorni i finansijsko-obavještajni sistem. Ove procedure imaju veliki potencijal za represiju, krađu podataka, krađu lica i zloupotrebu lica.

Discord je najavio da će korisnicima ograničiti profile na teen mode dok ne potvrde svoju dob, što uključuje skeniranje lica. Za obradu tih biometrijskih podataka koristi usluge kompanije Persona Identities, Inc., specijalizirane za KYC (Know Your Customer – Znaj svog klijenta) i AML (Anti-Money Laundering - protiv pranja novca) provjere.

Istraživači su pronašli javno dostupni Persona frontend na serveru autoriziranom od američke vlade, s 2.456 dostupnih fajlova. Prema istraživačici pod pseudonimom Celeste, kod je bio izoliran od uobičajenog radnog okruženja, ali ipak dostupan javnosti – prije nego što je uklonjen.

Analiza fajlova pokazala je da Persona ne provodi samo procjenu dobi. Softver navodno izvršava 269 različitih provjera, uključujući poređenje lica s nadzornim listama i bazama politički eksponiranih osoba, analizu nepovoljnih medijskih sadržaja (npr. terorizam, špijunaža) te dodjelu rizičnih i sličnosnih skorova. Prikupljaju se IP adrese, otisci preglednika i uređaja, brojevi ličnih dokumenata, telefoni, imena, fotografije i detaljna selfie analitika, uz mogućnost čuvanja podataka do tri godine.

Iako je Discord saopćio da više neće koristiti Personu za provjeru dobi, ovu uslugu koriste i druge platforme, uključujući Roblox, OpenAI (za 18+ verifikaciju na ChatGPT) i Lime. Meta, također, koristi softvere za identifikaciju i potvrđivanje auteničnosti lica i osobe, ali ne od Persona.