Experimentul Persona al Discord arată ce se află în spatele sistemelor de „verificare a vârstei”

Discord a publicat, și apoi a șters în mod ciudat, o declarație de exonerare de răspundere într-o secțiune de întrebări frecvente despre politicile privind verificarea vârstei, potrivit Ars Technica. Această mișcare a provocat un val de reacții negative. Declarația contrazicea termenul scurt promovat de Discord pentru stocarea documentelor de identitate. O versiune arhivată a paginii arată că nota conținea următorul avertisment: „Important: Dacă vă aflați în Regatul Unit, este posibil să faceți parte dintr-un experiment în cadrul căruia informațiile dvs. vor fi procesate de un furnizor de servicii de verificare a vârstei, Persona. Informațiile pe care le trimiteți vor fi stocate temporar pentru o perioadă de până la 7 zile, apoi șterse. Pentru verificarea documentelor de identitate, toate detaliile sunt estompate, cu excepția fotografiei și a datei de naștere, astfel încât sunt utilizate doar informațiile cu adevărat necesare pentru verificarea vârstei.”

Criticii au considerat că Discord ascundea nu doar perioada de stocare a documentelor de identitate, ci și entitățile care colectau informațiile. Discord nu a furnizat detalii despre scopul experimentului sau despre numărul utilizatorilor afectați, iar Persona nu era listată ca partener pe platforma sa.

Persona atrage critici în mijlocul furiei Discord

Discord a fost obligat să găsească soluții de verificare a vârstei, odată cu intrarea în vigoare a interdicției de utilizare a rețelelor sociale pentru persoanele sub 16 ani în Australia și a Legii privind siguranța online (OSA) din Regatul Unit.

Se pare că, în Regatul Unit, Discord a avut dificultăți în găsirea de parteneri, deoarece serviciul de mesagerie nu încerca doar să împiedice minorii să acceseze conținut pentru adulți, ci trebuia să blocheze și comunicarea adulților cu minorii.

Lăsând deoparte problemele legate de acuratețea tehnologiei actuale de estimare a vârstei, există o nuanță adesea trecută cu vederea în funcționarea acestor soluții, în special când siguranța copiilor influențează deciziile platformelor. Verificările care opresc accesul copiilor la conținut pentru adulți s-ar putea să nu fie la fel de eficiente ca acelea menite să blocheze adulții cu cunoștințe tehnice și intenții rele; OSA din Marea Britanie a cerut ca sistemele Discord să acopere ambele categorii.

Te-ar putea interesa și: Furia față de verificările de vârstă ale Discord explodează după testul dubios al Persona în Marea Britanie. Compania amână planurile de verificare a vârstei după protestele utilizatorilor

Se pare că Discord se aștepta ca Persona să fie un partener aprobat de autoritățile OSA din Marea Britanie. Organismul de reglementare aprobase anterior Persona ca serviciu de verificare a vârstei pentru Reddit, care are obiective la fel de complexe.

Pentru Persona, parteneriatul a venit într-un moment în care mulți utilizatori monitorizau serviciul pentru a decide dacă au încredere în Discord cu datele lor.

Pe platformele de socializare, criticii au avertizat că Peter Thiel, cofondatorul Palantir, era un investitor major în Persona. Aceștia se temeau de influența lui Thiel asupra companiei sau de accesul acestuia la date. Unii au speculat că legăturile lui Thiel cu administrația Trump ar putea oferi guvernului acces la informații. Temerile că datele ar putea ajunge în sistemele de recunoaștere facială ale statului au alimentat teorii ale conspirației, crescând presiunea asupra lui Rick Song, CEO-ul Persona, care a răspuns cu prudență acuzațiilor.

Hackerii au investigat Persona

Indignarea masivă a determinat cercetătorii în securitate cibernetică să investigheze sistemul. Aceștia au descoperit rapid o metodă de a evita verificările Persona pe Discord, conform The Register (2). Mai îngrijorător pentru apărătorii confidențialității, cercetătorii au găsit versiunea necomprimată a codului frontend al Persona, expusă pe un server autorizat de guvernul SUA.
„În 2.456 de fișiere accesibile publicului, codul a dezvăluit supravegherea extinsă pe care software-ul Persona o efectuează asupra utilizatorilor, integrată într-o interfață care combină recunoașterea facială cu raportarea financiară”, a raportat The Rage.

Ce ascunde de fapt „verificarea vârstei”

Persona profită de tendința legislativă globală privind verificarea vârstei. De la Chat Control în UE la Online Safety Act în Regatul Unit și proiectele KOSA și EARN IT din SUA, guvernele susțin că verificarea identității pe internet protejează copiii. Realitatea pare însă diferită.
Pe lângă estimarea vârstei, codul expus al Persona compară selfie-urile cu listele de urmărire a infractorilor prin recunoaștere facială și verifică utilizatorii în 14 categorii de „medii adverse”, de la terorism la spionaj. Rapoartele sunt etichetate cu nume de cod din programe de informații active care combat traficul de droguri, fraudele financiare și comerțul ilegal cu animale sălbatice.

Supraveghere în masă detaliată

După ce un utilizator își verifică identitatea, software-ul efectuează 269 de verificări distincte și scanează surse guvernamentale. Acesta compară fețele cu liste de persoane expuse politic (PEP) și generează scoruri de risc. Adresele IP, amprentele digitale ale dispozitivului, numerele de identificare, numele și chiar fundalurile selfie-urilor sunt analizate și păstrate până la trei ani.

Analiza imaginilor include „detectarea entităților suspecte”, „inconsistența vârstei” și detectarea fundalurilor similare cu ale altor utilizatori. Sistemul verifică și dacă poziția din selfie se repetă față de fotografii anterioare.

Cercetătorii afirmă că software-ul poate semnala o persoană drept „entitate suspectă” doar pe baza trăsăturilor faciale. Acest lucru este periculos, deoarece Persona a făcut greșeli în estimarea vârstei în trecut. Asociată cu raportarea AML (combaterea spălării banilor), o astfel de analiză poate duce la închiderea conturilor bancare.

În plus, Persona poate verifica date financiare, activitatea criptomonedelor prin Chainalysis și TRM Labs și poate depune rapoarte de activitate suspectă (SAR) direct către agențiile federale din SUA și Canada.

Informaticienii avertizează de mult timp că bazele de date centrale cu documente de identitate sunt ținte pentru hackeri. Anul trecut, 70.000 de fotografii de identitate au fost furate de pe Discord. Fiecare scurgere de acest fel expune utilizatorii riscului de furt de identitate.