Коллектив злоумышленников сумела проникнуть в компьютерные системы стороннего сервиса Persona, применяемого для аутентификации пользователей Discord и OpenAI, создателя нейросети ChatGPT. Согласно обнародованной информации, собранные фотографии лиц применялись не только для возрастной проверки, но и для внутренней категоризации и отсева. При выявлении подозрительных сведений технологическая компания имеет возможность направлять информацию непосредственно правоохранительным органам США и Канады.
Как сообщает BBC, в феврале 2026 года хакеры скомпрометировали партнера Discord и OpenAI (разработчика ChatGPT) по проверке возраста клиентов и обнаружили скрытые инструменты наблюдения за пользователями с помощью собранных биометрических данных.
Persona представляет собой внешний онлайн-сервис цифровой идентификации, который Discord и OpenAI внедрили в свои продукты для контроля возраста и верификации личности.
В Discord проверка через Persona требуется для доступа к материалам 18+ и к некоторым возможностям платформы. В американской компании OpenAI аналогичный процесс используется для подтверждения возраста и выполнения законодательных норм в отдельных государствах. Фактически, пользователь через интерфейс Persona загружает снимок удостоверения и свое фото, после чего сервис автоматически анализирует изображения и сообщает результат платформе — статус «подтверждено» или «отказано».
Руководство Persona признало факт кибератаки, а её генеральный директор Рик Сонг (Rick Song) выразил благодарность хакерам за выявление уязвимости в системе.
Операционный директор фирмы Кристи Ким (Christy Kim) заявила BBC 23 февраля 2026 года, что компания действительно участвует в государственных проектах по безопасности рабочих учетных записей, но опровергла связь с иммиграционными ведомствами.
Со своей стороны, представители Discord отметили, что взаимодействие с Persona было ограничено по времени в рамках пилотного проекта, завершившегося 24 февраля 2026 года.
В блоге эксперт по кибербезопасности под псевдонимом vmfunc разместил технический анализ под заголовком «Аудит кода Persona», где утверждается, что через этот сервис верификации персональные данные могут передаваться правительственным агентствам США. Основанием для таких заявлений стали найденные в коде и сетевых запросах обращения к доменам и инфраструктуре, ассоциированным с государственными ИТ-системами Америки.
Специалист по кибербезопасности под псевдонимом vmfunc изучил JavaScript-код виджета Persona, архитектуру её SDK и сетевые запросы, генерируемые браузером в процессе верификации. В ходе анализа были выявлены обращения к доменам в зоне .gov, а также к адресам, ассоциированным с официальными цифровыми службами США и Канады.
В частности, в коде обнаружены ссылки на американские ведомства, отвечающие за противодействие финансовым нарушениям и иммиграционный контроль, а также на канадские организации. Это может указывать на потенциальную передачу сведений государственным учреждениям.
Код содержит настройки, позволяющие выбирать источники для проверки и поставщиков информации. По оценке vmfunc, часть этих провайдеров связана с госорганами или их подрядчиками. В логике API также замечены последовательности вызовов, при которых пользовательские данные — фото документа и биометрия — отправляются на сторонние серверы для анализа. Исследователь полагает, что это создаёт техническую возможность сверки информации через государственные базы данных.
В отчёте от 26 февраля не представлены конкретные доказательства передачи персональных данных пользователей государственным структурам, а также отсутствуют документы, подтверждающие систематический обмен такой информацией. Автор строит свои выводы на основе найденных URL-адресов, конфигураций SDK и структуры сетевых запросов.
Сервис верификации личности Persona позиционируется как независимая частная компания, не входящая в состав крупных корпораций в качестве дочернего предприятия. Её основатели — Рик Сонг и Чарльз Йех (Charles Yeh). Компания была создана ими в Сан-Франциско (США) в октябре 2018 года. Ранее Рик Сонг работал инженером в Square (Block Inc.), а Чарльз Йех — в Dropbox.
Это венчурный проект с участием инвесторов, среди которых Founders Fund, Ribbit Capital, Index Ventures, Coatue, BOND, First Round Capital и другие. У компании нет единоличного владельца в традиционном понимании — это стартап с распределённой долей собственности между основателями и инвесторами, что типично для компаний-«единорогов» с оценкой в $2 млрд.
В 2021 году Persona привлекла $150 млн инвестиций от фонда Питера Тиля (Peter Thiel), который также владеет сервисом Palantir, специализирующимся на анализе больших данных для государственных заказчиков.
