นักวิจัยพบข้อมูลโค้ด Persona ที่เปิดเผย ชี้การยืนยันตัวตนมีการตรวจสอบถึง 269 รายการ

ทีมนักวิจัยด้านความปลอดภัยรายงานว่าเจอ Persona frontend ที่เปิดสู่สาธารณะบนเซิร์ฟเวอร์ที่ได้รับการอนุญาตตามมาตรฐาน FedRAMP ของรัฐบาลสหรัฐฯ โดยมี source maps ขนาดประมาณ 53MB และไฟล์โค้ด TypeScript ราว 2,456 ไฟล์ ซึ่งเปิดเผยโครงสร้างของแพลตฟอร์มการยืนยันตัวตนอย่างละเอียด

รายละเอียดที่นักวิจัยพบ

จากบล็อกของทีมวิจัยระบุว่าโค้ดที่หลุดออกมาชี้ว่าโปรแกรมการยืนยันตัวตนของ Persona ทำการตรวจสอบทั้งหมด 269 individual verification checks แบ่งเป็น 14 ประเภทการสกรีน หนึ่งในชื่อฟังก์ชันที่ปรากฏคือ SelfieSuspiciousEntityDetection ซึ่งนำนักวิจัยตั้งคำถามว่า "หน้าตาแบบไหนจึงถูกมองว่า suspicious" เพราะไม่มีคำชี้แจงชัดเจนในโค้ดหรือแจ้งให้ผู้ใช้ทราบ

โค้ดยังบอกด้วยว่าแพลตฟอร์มนี้สามารถส่ง Suspicious Activity Reports ไปยังหน่วยงานเช่น FinCEN และมีการเทียบภาพ selfie ของผู้ใช้กับภาพใน watchlist ผ่านระบบจดจำใบหน้า อีกทั้งสกรีนข่าวลบหรือสื่อ "adverse media" ถึง 14 หมวดหมู่ ตั้งแต่ terrorism ไปจนถึง espionage

ความเชื่อมโยงกับ Discord และข้อกังวลด้านความเป็นส่วนตัว

ก่อนหน้านี้ Discord แจ้งว่ามีการทดสอบ age verification บางส่วนในสหราชอาณาจักรร่วมกับผู้ให้บริการอย่าง Persona และบอกว่าการทดสอบดังกล่าวเป็น "limited test" ที่ได้สิ้นสุดลงแล้ว อย่างไรก็ตามการค้นพบ frontend ที่เปิดเผยเพิ่มความกังวลเรื่องการจัดเก็บและการใช้งานข้อมูลใบหน้า รวมถึงใครสามารถเข้าถึงข้อมูลเหล่านี้ได้

นอกจากนี้ยังมีความสนใจเรื่องนักลงทุนของ Persona ซึ่งรอบการระดมทุนล่าสุดมีความเชื่อมโยงกับกองทุนที่ Peter Thiel มีส่วนก่อตั้งและเป็นผู้อำนวยการข้อกังวลเรื่องความสัมพันธ์ระหว่างผู้ให้บริการยืนยันตัวตนกับบริษัทด้านการเฝ้าระวังหรือหน่วยงานรัฐถูกหยิบยกขึ้นมา

สรุปผลและความเสี่ยง

เหตุการณ์นี้เป็นตัวอย่างที่เตือนว่าการยืนยันตัวตนอัตโนมัติที่อาศัยการจดจำใบหน้าและการสกรีนเชิงลึกอาจสร้างข้อมูลเชิงลึกจำนวนมากเกินความจำเป็นสำหรับการตรวจอายุ ความเสี่ยงทั้งจากการรั่วไหลของโค้ดและการนำข้อมูลไปใช้ต่อยังเพิ่มแรงกดดันให้ผู้ใช้อยู่ในความระมัดระวังเมื่อมอบข้อมูลส่วนตัว โดยเฉพาะภาพใบหน้า

ทีมวิจัยระบุว่าการค้นพบครั้งนี้เริ่มจากการสำรวจแบบ passive recon แต่กลับพบโครงสร้างที่เปิดเผยอย่างชัดเจนโดยไม่ต้องสั่งโจมตีใดๆ ขณะที่ความชัดเจนว่าการรั่วไหลนี้เกี่ยวข้องกับการทดสอบของ Discord มากน้อยแค่ไหนยังไม่แน่ชัด แต่เรื่องความเป็นส่วนตัวของวิธีการยืนยันตัวตนดิจิทัลยังเป็นประเด็นที่ต้องจับตาต่อไป