Поделиться
ChatGPT и Discord обвинили в сливе данных пользователей американским спецслужбам
Группа хакеров смогла получить доступ к ИТ-системам стороннего сервиса Persona, который использовался для подтверждения личности пользователей в Discord и OpenAI, разработчик чат-бота ChatGPT. Согласно опубликованным данным, собранные изображения лиц использовались не только для подтверждения возраста, но и для дополнительных внутренних пометок и фильтрации. При обнаружении подозрительной информации ИТ-компания может передавать данные напрямую властям США и Канады.
Взлом ИТ-систем
Хакеры взломали в феврале 2026 г. партнера Discord и OpenAI (разработчик ChatGPT) по верификации возраста пользователей и выявили скрытые механизмы слежки за пользователями через собранную биометрию, пишет BBC.
Persona — это сторонний онлайн-сервис цифровой идентификации, который Discord и OpenAI интегрируют в свои ИТ-продукты для проверки возраста и подтверждения личности пользователей.
В случае Discord верификация через Persona применяется для доступа к контенту с возрастными ограничениями и к отдельным функциям ИТ-платформы. В американской исследовательской компании OpenAI программисты используют аналогичную процедуру для подтверждения возраста и соблюдения регуляторных требований в ряде стран. По сути, пользователь загружает через интерфейс Persona фото документа и селфи, после чего онлайн-сервис автоматически проверяет изображения и передает результат ИТ-платформе — статус «проверено» или «отклонено».
Руководство Persona подтвердило факт взлома, генеральный директор Рик Сонг (Rick Song) поблагодарил хакеров за обнаружение ИТ-уязвимости.
Операционный директор компании Кристи Ким (Christy Kim) пояснила BBC 23 февраля 2026 г., что фирма действительно работает над государственными контрактами в сфере безопасности рабочих аккаунтов, но отрицает связь с миграционными службами.
В свою очередь, администрация Discord подчеркнула, что сотрудничество с Persona носило временный характер в рамках теста, который 24 февраля 2026 г. уже завершен.
Исследование данных
В блоге специалист по кибербезопасности под ником vmfunc опубликован технический разбор под названием «Аудит кода Persona», в котором автор утверждает, что через онлайн-сервис верификации личности данные пользователей могут передаваться государственным структурам США. Поводом для таких выводов стали обнаруженные в коде и сетевых запросах обращения к доменам и ИТ-инфраструктуре, связанным с американскими государственными ИТ-системами.
Автор исследования по информационной безопасности (ИБ) vmfunc проанализировал код JavaScript виджета Persona, структуру комплекта для разработки программного обеспечения (ПО) и сетевые запросы, которые браузер отправляет во время прохождения проверки. Он обнаружил обращения к доменам в зонах .gov, а также к адресам, связанным с государственными цифровыми сервисами США и Канады.
В частности, в коде Persona были найдены упоминания американских ведомств по борьбе с финансовыми преступлениями и иммиграционной и таможенной полиции США, а также канадских структур, что может быть признаком возможной передачи данных государственным органам.
В коде присутствуют параметры конфигурации, позволяющие выбирать источники проверки и провайдеров данных. По мнению vmfunc, некоторые из них связаны с государственными структурами или подрядчиками, работающими с государственными органами. В логике application programming interface (API) он также заметил цепочки вызовов, в которых данные пользователя — изображение документа и биометрическая информация — передаются на внешние серверы для дальнейшей обработки. Исследователь по кибербезопасности считает, что это может говорить о технической возможности сверки данных через государственные базы.
В самом отчете на 26 февраля не приводятся логи передачи данных конкретных пользователей в государственные органы и не предоставляются документы, подтверждающие систематическую отправку информации властям. Автор делает выводы на основе обнаруженных URL, конфигураций комплекта для разработки ПО (SDK) и структуры сетевых вызовов.
Американский онлайн-сервис
Онлайн-сервис верификации личности Persona — это якобы независимая частная компания, не принадлежащая крупному корпоративу или холдингу как дочерняя структура. Основатели: Рик Сонг и Чарльз Йех (Charles Yeh). Компания основана ими в октябре 2018 г. в Сан-Франциско (США). До этого: Рик Сонг работал инженером в Square (Block Inc.), Чарльз Йех — в Dropbox.
Венчурная компания с инвесторами, среди которых: Founders Fund, Ribbit Capital, Index Ventures, Coatue, BOND, First Round Capital и другие. Нет единого владельца в классическом смысле — это стартап с распределенной долевой собственностью среди фаундеров и инвесторов (стандартно для unicorn-компаний уровня $2 млрд).
Persona в 2021 г. получила $150 млн инвестиций от фонда Питера Тиля (Peter Thiel), который также владеет сервисом Palantir, специализирующимся на анализе больших данных для государственных структур.
Короткая ссылка
