Critiche sull'app di riconoscimento Persona, online migliaia di dati sensibili - Cybersecurity - Ansa.it

LinkedIn, Reddit, Roblox.

Sono solo alcune delle app e servizi digitali che si affidano alla piattaforma Persona per la verifica dell'identità degli utenti. Un report di sicurezza afferma che 2.456 dati sensibili raccolti da Persona sono rimasti leggibili sul web ad uso del governo degli Stati Uniti, prima di essere rimossi.

Come scrivono sul proprio blog gli esperti di Malwarebytes Labs, "in questi file, i ricercatori hanno trovato dettagli sulle informazioni che Persona raccoglie. Oltre a verificare l'età, il software esegue 269 distinti controlli, come il riconoscimento facciale e incroci su persone politicamente esposte, filtra gli individui in 14 categorie (tra cui terrorismo e spionaggio) e assegna punteggi di rischio". Non è chiaro da quali piattaforme provengano le migliaia di file di Persona individuati. Anche Discord usava lo strumento per verificare gli utenti maggiorenni, ma lo ha sostituito con k-Id, come riportato dal sito The Verge.

In parallelo, il portale americano Inc. cita le ricerche di un esperto di sicurezza indipendente che, dopo aver completato il riconoscimento di Persona su LinkedIn, ha letto i termini d'uso, scoprendo che il servizio di autenticazione condivide i dati ottenuti con decine di aziende, compresi 17 "sub-responsabili", tra cui figurano Anthropic e OpenAI. Dopo il report, il co-fondatore e amministratore delegato di Persona, Rick Song, ha scritto su LinkedIn che, "nessun dato personale viene elaborato per l'addestramento dei modelli di intelligenza artificiale. I dati vengono utilizzati esclusivamente per confermare l'identità".