Bifa albastră de pe LinkedIn, semnul distinctiv al unui cont verificat, a devenit un simbol al credibilității în rețeaua profesională deținută de Microsoft. Totuși, un utilizator anonim a atras atenția comunității online asupra unor aspecte mai puțin cunoscute ale procesului de verificare a identității, stârnind o dezbatere aprinsă despre confidențialitate și utilizarea datelor personale.
Totul a pornit de la o postare publicată pe blogul The Local Stack, dedicat supravegherii digitale și capitalismului de supraveghere, semnată de un utilizator care se prezintă doar ca „rogi”. După ce și-a verificat identitatea pe LinkedIn, acesta a analizat cu atenție politica de confidențialitate și termenii și condițiile impuse de procesul de verificare, care este administrat de un furnizor extern numit Persona.
Persona nu este un nume nou în peisajul verificărilor de identitate online. Platforma este utilizată și de Roblox și Discord pentru verificarea vârstei utilizatorilor, ceea ce a adus-o deja în atenția cercetătorilor în securitate cibernetică și a organizațiilor de apărare a drepturilor digitale.
Potrivit lui rogi, în cadrul procesului de verificare, Persona a colectat o cantitate impresionantă de date: numele complet, fotografia pașaportului, un selfie, date biometrice faciale, datele stocate pe cipul NFC din pașaport, naționalitatea, sexul, data nașterii, vârsta, adresa de email, numărul de telefon, adresa fizică, adresa IP, geolocalizarea, tipul dispozitivului, adresa MAC, browserul utilizat, versiunea sistemului de operare și limba. Mai mult, Persona ar fi utilizat și tehnici de „detecție a ezitării”, monitorizând cât timp i-a luat utilizatorului să completeze fiecare etapă și unde s-a oprit, precum și detecția acțiunilor de copiere și lipire a textului.
Îngrijorarea majoră semnalată de rogi privea însă destinația acestor date. Conform termenilor serviciului, informațiile nu ajung doar la LinkedIn și Persona, ci și la o rețea globală de parteneri de date ai Persona, denumiți subprocesori. Printre aceștia se numără Amazon Web Services, Google Cloud Platform, dar și companii din domeniul inteligenței artificiale, precum OpenAI și Anthropic. La solicitarea autorităților, Persona poate transmite aceste date și organelor de drept.
După ce postarea lui rogi a devenit virală, Rick Song, co-fondatorul și CEO-ul Persona, a reacționat public printr-un comentariu pe LinkedIn. Song a precizat că nicio informație personală procesată nu este utilizată pentru antrenarea modelelor de inteligență artificială și că datele sunt folosite exclusiv pentru confirmarea identității.
El a mai adăugat că toate datele biometrice sunt șterse imediat după procesare, iar restul datelor personale sunt eliminate în termen de 30 de zile. Song a negat, de asemenea, că OpenAI sau Anthropic ar fi subprocesori implicați direct în verificarea identității utilizatorilor LinkedIn, explicând că lista de subprocesori publicată reprezintă totalitatea companiilor utilizate pentru toți clienții Persona, nu neapărat pentru fiecare produs sau client în parte. „Adăugăm o clarificare acestei liste pentru a fi mai transparenți în viitor”, a spus el.
Controversa nu se oprește aici. Un cercetător în securitate a publicat recent un raport în care susține că Persona efectuează 269 de verificări individuale asupra utilizatorilor Discord, cifră care ridică noi semne de întrebare cu privire la amploarea procesării datelor. La acestea se adaugă faptul că Peter Thiel, co-fondatorul controversat al firmei de supraveghere Palantir, este unul dintre investitorii importanți ai Persona, aspect care a amplificat îngrijorările grupurilor de apărare a confidențialității digitale.
Decizia de a-ți verifica sau nu contul LinkedIn rămâne una personală, însă cunoașterea mecanismelor din spatele acestui proces simplu poate face diferența între o alegere informată și una luată în necunoștință de cauză.
