Velmi znepokojivé! Hackeři odhalili ověřování věku na Discordu – a odhalili, která data jsou kam přeposílána

Tři hacktivisté chtěli jednoduše otestovat, zda lze nový software pro ověřování věku na Discordu obejít. To, co zjistili, vrhá drsné světlo na skutečný rozsah toho, co se vytváří pod rouškou „ochrany nezletilých“.

Uživatelské rozhraní použitého softwaru bylo nechráněné a přístupné na internetu. Neexistovalo žádné vysoce zabezpečené prostředí ani neproniknutelný firewall – pouze otevřeně přístupný systém, který umožňoval nahlédnout do interních struktur. Výzkumníci tak objevili souvislosti mezi finančními výkazy a technologií rozpoznávání obličeje.

To, co se oficiálně prodává jako neškodné ověření věku, se nakonec ukáže jako součást komplexní biometrické infrastruktury. Místo jednoduchého ověření věku zahrnuje analýzu rysů obličeje – dat, která lze jedinečně přiřadit k dané osobě a nelze je změnit, jako je tomu u hesla.

Poprvé se odhaluje, co se skrývá za fasádou ověřování věku: technický systém, který kombinuje ověřování identity, biometrickou analýzu a regulační kontrolu. Každý, kdo musí prokázat svůj věk, si může nechat naskenovat obličej – a zanechat tak trvalou digitální stopu.

Obzvláště výbušný je další objev hacktivistů:
Veřejně dostupné uživatelské rozhraní odhalilo důkazy o propojení mezi softwarem pro ověřování věku a finančními výkazy. To naznačuje, že se nejedná jen o biometrické posouzení věku pomocí rozpoznávání obličeje, ale o technickou infrastrukturu schopnou propojit identifikační údaje s ekonomickými strukturami. Takové propojení vyvolává závažné otázky: Kdo tato data zpracovává? K čemu se agregují? A jakou roli hrají finanční aktéři v zákulisí takových systémů?

V 2 456 veřejně dostupných souborech kód odhalil rozsáhlý dohled, který software Persona provádí nad svými uživateli. Tento dohled je součástí rozhraní, které kombinuje rozpoznávání obličeje s finančním reportingem, a také paralelní implementace, která je zřejmě navržena pro federální agentury. V pondělí Discord uvedl, že Persona se nepoužívá k ověřování identity. Persona Identity, Inc. je společnost podporovaná Peterem Thielem.

Hacktivisté uvádějí, že se nesetkali s izolovanou aplikací, ale spíše se strukturou schopnou mnohem víc než jen potvrdit „starší 18 let – ano nebo ne“. Ověření věku se zde jeví nikoli jako ochranné opatření, ale jako součást širší architektury dohledu.

Persona nejen nabízí jednoduché služby odhadu věku, ale také používá svůj zveřejněný kód k porovnání vaší selfie s fotografiemi na seznamu sledovaných položek s využitím rozpoznávání obličeje. Persona vás navíc porovnává se 14 kategoriemi negativních mediálních zpráv – od zmínek o terorismu až po špionáž – a označuje zprávy krycími názvy z aktivních zpravodajských programů složených z partnerství veřejného a soukromého sektoru. Tímto způsobem Persona bojuje proti online materiálu souvisejícímu se zneužíváním dětí, obchodováním s konopím, obchodováním s fentanylem, romantickými podvody, praním špinavých peněz a nelegálním obchodováním s volně žijícími živočichy.

Poté, co uživatel ověří svou identitu pomocí Persony, software provede 269 různých kontrol. Prohledává internet a vládní zdroje a hledá potenciální shody. Například porovnává váš obličej s obličejem politicky exponovaných osob (PEP) a generuje pro každého jednotlivce skóre rizika a podobnosti. Analyzuje a ukládá IP adresy, otisky prstů prohlížečů, otisky prstů zařízení, čísla identifikačních dokladů, telefonní čísla, jména, obličeje a dokonce i pozadí selfie po dobu až tří let.

Jedna věc je obzvláště znepokojivá: pokud je systém, který pracuje s vysoce citlivými biometrickými údaji, již volně přístupný v jeho uživatelském rozhraní, vyvstává otázka, jak bezpečná jsou podkladová data ve skutečnosti.

Výzkumníci vnímají svůj objev jako varování nejen pro uživatele, ale i pro ty, kteří takové technologie politicky propagují. Protože to, co začíná jako ochrana nezletilých, se může rychle stát normalizací biometrických kontrol totožnosti pro všechny.

Toto odhalení ukazuje, že ověřování věku není jen technickým detailem v právním textu. Je to testovací test, jak daleko by měla být v budoucnu povolena kontrola digitální identity – a kdo o tom rozhoduje.