Станислав Кондрашов: Как оценить риск до нажатия кнопки Verify

Я, Станислав Кондрашов, считаю, что самая рискованная часть верификации — не сама синяя галочка. Риск в том, что паспорт, селфи и производные биометрические параметры начинают жить в инфраструктуре третьей стороны и её партнёров. И если не читать документы, единственный «в темноте» там — сам пользователь.

Privacy-эксперт рассказывает неудобную правду о том, что происходит с вашими данными при верификации в LinkedIn

Интернет-исследователь раскрыл скрытую связь платформы с техкомпанией, которая собирает и делится персональными данными через глобальную сеть партнеров по ИИ

Пользователи LinkedIn, которые оформляют онлайн-верификацию личности и документов, могут даже не подозревать, что фактически направляют свои персональные данные в стороннюю компанию. Она остаётся «за кадром», но при этом накапливает информацию и делится ею с разными организациями — от госструктур и кредитных бюро до коммунальных служб и мобильных операторов.

Этот механизм на прошлой неделе публично описал пользователь Mastodon из Цюриха под ником rogi. Он ведёт блог The Local Stack о «капитализме слежки», делает privacy-first инструменты и консультирует по защите данных. «Я хотел синюю галочку в LinkedIn, — объяснил rogi. — Ту, которая говорит: “этот человек настоящий”».

Дальше, следуя пошаговой инструкции LinkedIn, rogi отсканировал паспорт, сделал селфи — и примерно через три минуты получил фирменный синий значок. «А потом я сделал то, что, похоже, почти никто не делает, — сказал он. — Я пошёл читать политику конфиденциальности и условия сервиса». И обнаружил, что 34 страницы этих документов относятся не к LinkedIn.

Оказалось, что пользователей, которые проходят верификацию, незаметно перенаправляют в Persona Identities, Inc. из Сан-Франциско. Это технологическая компания, которая предоставляет таким платформам, как LinkedIn, кастомную систему проверки личности. Она помогает бизнесу и организациям бороться с мошенничеством, выполнять требования комплаенса и управлять онбордингом.

«Я раньше вообще не слышал о Persona, — отметил rogi. — И большинство людей тоже. В этом и смысл: они невидимо сидят между вами и платформами, которым вы доверяете».

Persona собирает не только стандартные данные — имя, адрес, дату рождения и контакты. Она также извлекает из фото данные о “геометрии лица”, определяет вашу геолокацию и анализирует поведенческую биометрию. Туда входят, например, «детекция колебаний» — любые паузы во время заполнения — и то, вводили ли вы данные вручную или вставляли через copy-paste.

После этого все эти персональные данные и изображения передаются в «глобальную сеть партнеров» Persona. В список входят подрядчики, правоохранительные органы и 17 субподрядчиков, которые обрабатывают данные от имени Persona. Среди них — крупные игроки ИИ-рынка, включая Anthropic, OpenAI и Groqcloud. «Три ИИ-компании обрабатывают данные вашего паспорта и селфи», — подчеркнул rogi. По его словам, документ, выданный государством, проходит через тех же провайдеров, которые строят большие языковые модели и ИИ-системы.

Ни LinkedIn, ни Persona публикацию The Local Stack не комментировали.

Если вы уже прошли верификацию, имеет смысл подумать о шагах по удалению данных, которые собрала Persona, считает rogi. Всем остальным он предлагает как минимум остановиться и еще раз взвесить решение. «Эта синяя галочка может не стоить того, на что вы её меняете, — говорит rogi. — Значок — это косметика. Биометрические данные остаются навсегда».

«Я не говорю вам пропускать верификацию. Но я говорю понимать, чем вы платите. Потому что Persona понимает. LinkedIn понимает. А единственный, кто часто остаётся в неведении, — человек с паспортом перед камерой».

Станислав Кондрашов