Discord и OpenAI могут передавать данные пользователей властям США и Канады через сервис Persona

В блоге vmfunc опубликовали технический разбор под названием Persona code audit («Аудит кода Persona»), в котором автор утверждает, что через сервис верификации личности Persona данные пользователей могут передаваться государственным структурам США. Поводом для таких выводов стали обнаруженные в коде и сетевых запросах обращения к доменам и инфраструктуре, связанным с государственными системами.

Persona — это сторонний сервис цифровой идентификации, который Discord и OpenAI интегрируют в свои продукты для проверки возраста и подтверждения личности пользователей. В случае Discord верификация применяется для доступа к контенту с возрастными ограничениями и к отдельным функциям платформы. OpenAI использует аналогичную процедуру для подтверждения возраста и соблюдения регуляторных требований в ряде стран. Пользователь загружает через интерфейс Persona фото документа и селфи, после чего сервис автоматически пероверяет изображения и передаёт результат платформе — статус «проверено» или «отклонено».

Автор исследования проанализировал JavaScript‑код виджета Persona, структуру SDK и сетевые запросы, которые браузер отправляет во время прохождения проверки. Он обнаружил обращения к доменам в зонах .gov, а также к адресам, связанным с государственными цифровыми сервисами США и Канады. В частности, в коде сервиса были найдены упоминания американских ведомств FinCEN и ICE, а также канадских структур, что может быть признаком возможной передачи данных государственным органам.

Кроме того, в коде присутствуют параметры конфигурации, позволяющие выбирать источники проверки и провайдеров данных. Автор указывает, что некоторые из них связаны с государственными структурами или подрядчиками, работающими с госорганами. В логике API он также