Discord-botrány: az arcfelismerőn keresztül figyel az amerikai kormány
Cikk meghallgatása
A 2010-es évek internetének legnagyobb kihívása egyértelműen a fiatalkorúak védelme volt, miután nemcsak a rosszakarók leselkedtek rájuk, hanem különböző cégek és kormányok is adataikra pályáztak. A 2020-as évekre a GDPR-törvényeknek köszönhetően ez valamelyest finomodott, ugyanakkor a mesterséges intelligencia megjelenésével a veszélyek nem tűntek el – ahogyan azt a Discord hibája is mutatja.
A népszerű csevegőapp nemrégiben bejelentette, hogy minden felhasználót alapértelmezetten tinézdzser-módban kezel, ami arcszkennelést vagy igazolványfeltöltést igényel a teljes funkciókhoz. Ez azonban óriási felháborodást váltott ki, miután kiderült, hogy az infrastruktúrát biztosító Persona igazi megfigyelőként működik, nemcsak arcszkennerként.
Az etikus hackerek felfedezése
Három etikus hacker, köztük a Celeste (vmfunc) nevű kutató, a Discord kor-ellenőrző rendszerének megkerülését kereste. Ehelyett 2456 nyilvánosan elérhető fájlt találtak a Persona felületén, aminek eredeti feladata a kor meghatározása lett volna. Ezek a fájlok egy, az amerikai kormány által jóváhagyott szerveren kerültek tárolásra.
A kód felfedte, hogy a szoftver arcazonosítással figyelőlistákat ellenőriz, 14 különböző kategóriában keres káros médiatartalmakat a terrorcselekményektől a kémkedésen át, és közben kockázati pontszámokat generál, amiket IP-címekhez kapcsol.
A Persona által működtetett kémhálózat
A Palantiron keresztül ismert Peter Thiel által támogatott Persona kétmilliárd dolláros értékelésnek örvend, célja pedig KYC-azonosítást és AML-szolgáltatást kínálni többek között olyan vállalatoknak, mint az OpenAI, a Roblox, vagy a most említett Discord. A vállalat terméke 269 ellenőrzést végez, beleértve a kripto-tranzakciókat a Chainalysis és a TRM Labs révén, valamint gyanús tevékenységi jelentéseket (SAR) küld közvetlenül a FinCEN-hez.
A vállalat kormányzati verziót is működtet, ami a withpersona-gov.com-on érhető el, ahol valós idejű viselkedéskövetést kínál FedRAMP-minősítéssel, ami miatt a kutatók szerint elkülönített infrastruktúrát is igényel magas kockázata miatt – többek között a Discord ezért szakította meg velük a kapcsolatot.
„Kevésbé teszed biztonságosabbá az internetet, nem biztonságosabbá. A normális emberek nem tudják megkerülni ezeket, míg a rosszindulatúak mindig találnak kiskaput.”
– nyilatkozta Celeste (vmfunc), biztonsági kutató a The Rage-nek
Felébredés a megfigyelés ellen
Ez a botrány rávilágít a központosított korverifikáció veszélyeire: csak tavaly több mint 70 ezer Discord-felhasználó ID-ja szivárgott ki. A kutatók szerint a Persona vállalati felügyeleti háló építésén dolgozik, a kormányzati jelentések pedig akár automatizálva is lehetnek. A FedRAMP és az OpenAI összekapcsolása ugyanakkor kérdéseket vet fel az adatáramlási biztonsággal kapcsolatban.
Jól látszik a trend, miszerint a világon az adatvédelem csak szolgáltatói oldalról fontos kérdés a hatóságoknak, ők maguk pedig mindenhez hozzáférést követelnek – elég csak az EU Chat Controlra, vagy a brit Online Safety Act-re gondolni. Az amerikai KOSA tovább erősítheti ezeket a rendszereket, ugyanakkor a Discord esete rávilágít, a biztonság ígérete gyakran csak illúzió.
Miközben a felhasználó gondtalanul böngészi az internetet, különböző kormányközeli vállalatok az állammal együtt kémkednek utánunk, figyelik szokásainkat, és tevékenységeinket naplózzák, hogy aztán beskatulyázzanak minket egy általuk felállított rendszerbe. Érdemes tehát VPN-t használni, adatainkat pedig védeni.