Внедрение системы верификации возраста в Discord вызвало волну недовольства среди пользователей, многие из которых начали искать более приватные альтернативы. Недовольство усилилось, когда Discord сообщил некоторым пользователям из Великобритании, что они могут стать частью "эксперимента" с провайдером верификации возраста Persona.
Особую тревогу вызвал тот факт, что ведущим инвестором Persona выступил венчурный фонд, соучредителем и директором которого был Питер Тиль – соучредитель Palantir. Эта компания занимается технологиями слежения и недавно попала в заголовки новостей из-за разработки приложений для отслеживания целей депортационных мер правительства США. Также звучали обвинения в том, что компания может собирать базы данных из приватной информации американских граждан.
Discord позже заявил о завершении тестирования платформы Persona. Однако опасения по поводу безопасности и работы с персональными данными продолжили распространяться, и теперь трое исследователей безопасности сообщают об обнаружении фронтенда Persona, который был открыт для доступа из интернета на сервере, авторизованном правительством США.
Минюст США требует от Google, Reddit и Meta выдавать личные данные пользователей, критикующих действия ICE – компании частично исполняют требование
По словам исследователей, их работа должна была стать "пассивным разведывательным исследованием", которое быстро превратилось в "глубокое погружение в кроличью нору того, как коммерческий ИИ и федеральные правительственные операции работают вместе, нарушая нашу конфиденциальность каждую секунду".
Нам даже не пришлось писать или выполнять единственный эксплойт – вся архитектура просто лежала на пороге.
Исследователи обнаружили:
-
53 мегабайта незащищенных исходных карт на правительственной конечной точке FedRAMP
-
Полный код базы платформы, которая подает отчеты о подозрительной активности в FinCEN
-
Систему сравнения селфи с фотографиями из списков наблюдения с использованием распознавания лиц
-
Проверку по 14 категориям негативной информации – от терроризма до шпионажа
-
Отчеты с кодовыми именами активных разведывательных программ
2456 исходных файлов, содержащих полный код базы TypeScript. Каждое разрешение, каждая конечная точка API, каждое правило соответствия, каждый алгоритм проверки. Находились без аутентификации в открытом интернете. На правительственной платформе.
Помимо поразительного факта столь легкого доступа к таким данным, выяснилось, что Persona работает гораздо глубже, чем можно было ожидать. Исследователи утверждают, что полная программа верификации выполняет 269 индивидуальных проверок по 14 типам, включая SelfieSuspiciousEntityDetection (обнаружение подозрительных сущностей по селфи).
Что делает лицо "подозрительным"? Код этого не объясняет. Пользователям не сообщается.
Нам часто говорят, что верификация возраста отвечает нашим интересам и направлена на защиту детей от вредного контента. Однако не нужно быть гением, чтобы понять – данные распознавания лиц представляют гораздо большую ценность, чем просто проверка возраста для просмотра контента для взрослых.
Неясно, насколько эта утечка связана с более ранним тестированием Discord. Однако это отличный пример того, почему защитники конфиденциальности выражали явное недовольство идеей текущих методов цифровой верификации возраста, и почему стоит быть крайне избирательным в выборе тех, кому вы передаете свои данные.
