Коллектив киберпреступников сумел проникнуть в информационные системы стороннего провайдера Persona, задействованного для аутентификации клиентов в Discord и OpenAI, создателе нейросети ChatGPT. Согласно обнародованной информации, собранные фотографии лиц применялись не только для возрастной проверки, но и для внутренней классификации и отсева. При выявлении подозрительных сведений технологическая компания вправе направлять информацию непосредственно правоохранительным органам США и Канады.
Злоумышленники в феврале 2026 года скомпрометировали партнёра Discord и OpenAI (разработчика ChatGPT) по проверке возраста клиентов и обнаружили скрытые инструменты наблюдения за пользователями через собранные биометрические данные, сообщает BBC.
Persona представляет собой внешний онлайн-сервис цифровой идентификации, который Discord и OpenAI внедрили в свои продукты для контроля возраста и верификации личности.
В Discord проверка через Persona требуется для доступа к материалам 18+ и к определённым возможностям платформы. В американской исследовательской лаборатории OpenAI инженеры используют схожий процесс для подтверждения возраста и выполнения законодательных норм в некоторых государствах. Фактически, пользователь через интерфейс Persona загружает снимок удостоверения и своё фото, после чего сервис автоматически анализирует изображения и сообщает результат платформе — статус «подтверждено» или «отказано».
Руководство Persona признало факт взлома, генеральный директор Рик Сонг (Rick Song) выразил благодарность хакерам за выявление уязвимости в системе.
Операционный директор фирмы Кристи Ким (Christy Kim) пояснила BBC 23 февраля 2026 года, что компания действительно участвует в государственных проектах по безопасности рабочих учётных записей, но опровергает связь с иммиграционными ведомствами.
Со своей стороны, представители Discord акцентировали, что взаимодействие с Persona было ограниченным экспериментом, который 24 февраля 2026 года уже прекращён.
В блоге эксперта по информационной безопасности под псевдонимом vmfunc размещён технический анализ под заголовком «Аудит кода Persona», где автор заявляет, что через этот сервис верификации персональные данные могут поступать правительственным агентствам США. Основанием для таких заключений стали найденные в коде и сетевых обращениях ссылки на домены и инфраструктуру, ассоциированные с государственными ИТ-системами Америки.
Специалист по кибербезопасности под псевдонимом vmfunc изучил JavaScript-код виджета Persona, архитектуру её SDK и сетевые запросы, генерируемые браузером в процессе верификации. В ходе анализа были выявлены обращения к доменам в зоне .gov, а также к адресам, ассоциированным с цифровыми госуслугами США и Канады.
В частности, в коде обнаружены ссылки на американские ведомства по противодействию финансовым нарушениям и иммиграционному контролю, а также на канадские организации, что может указывать на потенциальную передачу сведений государственным инстанциям.
Код содержит настройки, позволяющие выбирать источники проверки и поставщиков информации. По оценке vmfunc, часть из них имеет связь с государственными учреждениями или их подрядчиками. В логике API также замечены цепочки операций, при которых пользовательские данные — изображение документа и биометрия — отправляются на сторонние серверы для анализа. Исследователь полагает, что это создаёт техническую возможность сверки информации через правительственные базы данных.
В отчёте от 26 февраля не представлены журналы передачи персональных данных конкретных пользователей в госорганы, а также отсутствуют документы, доказывающие регулярную отправку такой информации. Автор строит свои выводы на основе найденных URL-адресов, конфигураций SDK и структуры сетевых запросов.
Онлайн-сервис верификации Persona позиционируется как независимая частная компания, не входящая в состав крупных корпораций. Её основатели — Рик Сонг и Чарльз Йех (Charles Yeh). Компания была создана ими в Сан-Франциско (США) в октябре 2018 года. Ранее Рик Сонг работал инженером в Square (Block Inc.), а Чарльз Йех — в Dropbox.
Это венчурный проект с участием инвесторов, среди которых Founders Fund, Ribbit Capital, Index Ventures, Coatue, BOND, First Round Capital и другие. У компании нет единоличного владельца — это стартап с распределённым долевым участием основателей и инвесторов, что типично для компаний-«единорогов» с оценкой в $2 млрд.
В 2021 году Persona привлекла $150 млн инвестиций от фонда Питера Тиля (Peter Thiel), который также владеет сервисом Palantir, специализирующимся на анализе больших данных для государственных нужд.
