Хакерская группа vmfunc раскрыла алгоритм функционирования сервиса подтверждения возраста Persona, который активно применяют такие компании, как OpenAI, Roblox, Reddit и LinkedIn. Хакеры не прибегали к взлому — они нашли открытый сервер Google Cloud, на котором расположен сервис openai-watchlistdb.withpersona.com, предназначенный для проверки возраста пользователей ChatGPT.
Для подтверждения возраста необходимо загрузить селфи, после чего Persona анализирует изображение по 14 критериям, включая наличие негативных упоминаний в СМИ, связанных с терроризмом и шпионажем. После этой проверки сервис проводит ещё 269 различных анализов, включая поиск совпадений с другими лицами в интернете и государственных базах данных.
Кроме распознавания лиц, Persona проверяет санкционные списки и финансовую активность, в том числе в криптовалюте. При выявлении подозрительной информации данные могут быть переданы в Минфин США и Канады. Параллельно с openai-watchlistdb.withpersona.com функционирует отдельный сервис withpersona-gov.com для работы с госструктурами.
Гендиректор Persona Рик Сонг подтвердил отсутствие взлома и пообещал ответить на вопросы хакеров. OpenAI не прокомментировала утечку, а Discord отказался от услуг Persona.
Вопрос-ответ
Как работает сервис Persona и какие данные он обрабатывает?
Persona используется для проверки возраста пользователей через загрузку селфи, после чего проводится серия анализов: визуальный анализ изображения по 14 критериям, поиск совпадений с другими людьми в интернете и госбазах, проверка санкционных списков, анализ финансовой активности (включая криптовалюту) и передача подозрительной информации в регулирующие органы. Также присутствуют интеграции с двумя сервисами: openai-watchlistdb.withpersona.com и withpersona-gov.com.
Что утверждают об инциденте хакеры и как это влияет на безопасность данных?
Хакерская группа vmfunc заявила о нахождении открытого сервера Google Cloud с сервисом, но гендиректор Persona Рик Сонг подтвердил, что взлома не было. По заявлению, уязвимость касается конфигурации сервиса, а не его взлома, однако аудит и мониторинг должны усилиться. Для пользователей важна прозрачность обработки данных и соблюдение регуляторных требований в части передачи информации госорганам.
Какие компании используют сервис Persona и какие риски связаны с его использованием?
Сервис активно применяют такие крупные компании, как OpenAI, Roblox, Reddit и LinkedIn. Риски включают сбор и обработку биометрических данных и сопутствующей информации, возможность передачи данных в США и Канаду при подозрительной активности, а также вопросы соответствия законам о конфиденциальности и защите данных в разных юрисдикциях.
Каковы шаги для улучшения защиты данных и доверия пользователей?
Рекомендуются: проведение независимого аудита безопасности и соответствия требованиям законов о защите данных, минимизация объема собираемых данных, явная политика хранения и удаления данных, прозрачные уведомления пользователей о целях анализа и передаче данных, обеспечение выбора пользователем, возможность отказа от аналогичных сервисов, а также усиление контроля доступа и мониторинг уязвимостей.
