Тайният колекционер на данни: Кой наистина стои зад проверките на LinkedIn, OpenAI и други подобни?

Изтичане на изходен код разкрива: Какво наистина се случва с вашите идентификационни данни в Reddit, Roblox и LinkedIn

Всеки, който използва интернет днес, все по-често трябва да доказва самоличността си. Независимо дали става въпрос за желаната „отметка“ в LinkedIn, достъп до мощните AI модели на OpenAI, проверка на възрастта в Reddit или чат в Roblox – посягането към паспорт и правенето на задължителното видео селфи се превръщат в новото нормално. Но докато потребителите вярват, че поверяват чувствителните си биометрични данни директно на съответните платформи, на заден план действа невидима сила: американският стартъп „Persona“. С над 300 милиона проверени самоличности, компанията, подкрепена от влиятелни инвеститори, се е превърнала в скритата инфраструктура на дигиталния живот. Но привидно удобната система има основен недостатък: изтичане на чувствителен изходен код, съмнителни периоди на съхранение на данни и тесни връзки с американските власти пораждат сериозни опасения за поверителността на данните. Какво всъщност се случва с нашите лица и идентификационни номера? И защо Discord беше единствената голяма платформа, която спря да работи след масови протести на потребителите? Разследване на скритите сървърни структури на гигант в областта на данните.

Невидимият гръбнак на интернет: Как LinkedIn, Reddit, OpenAI, Roblox и други платформи използват персони - и какво означава това за вашите данни

Една компания, 148 000 клиенти, 300 милиона записа с данни — и почти никой не знае за това

Когато потребител на LinkedIn потвърди профила си, той вярва, че говори с LinkedIn. Когато потребител на Reddit потвърди възрастта си, той се доверява на Reddit. Когато играч на Roblox държи лицето си пред камерата, той го прави, вярвайки, че Roblox е човекът, с когото взаимодейства. В действителност, във всички тези случаи става въпрос за една и съща компания: Persona Identities, Inc., стартираща компания, базирана в Сан Франциско, основана през 2018 г., която се превърна в де факто инфраструктура за идентичност за големи части от интернет. До 2024 г. Persona е извършила над 300 милиона проверки на самоличността, удвоявайки както приходите си, така и клиентската си база. Платформите, които използват услугите на Persona, се четат като напречен разрез на съвременния дигитален живот - и въпреки това името Persona остава напълно непознато за повечето потребители.

Това не е случайно. Бизнес моделът на Persona умишлено разчита на невидимост: Докато платформите култивират взаимоотношения с потребителите и изграждат доверие, Persona се занимава с действителната проверка на заден план. С оценка от 2 милиарда долара след финансиране от серия D през април 2025 г. и инвеститори като Founders Fund, Ribbit Capital и Index Ventures, компанията е сред най-значимите частни компании за технологии за идентичност в световен мащаб. Това, което изглежда на потребителите като удобен процес на проверка, всъщност е концентрирана инфраструктура за събиране на данни, която далеч надхвърля необходимото за обикновена проверка на самоличността.

Свързано с това:

• Проверка на самоличността | Вашето лице и вашите данни не са ваши – Anthropic (Claude), LinkedIn и новата икономика на биометричния контрол

LinkedIn: 100 милиона проверени профила — и какво стои зад тях

LinkedIn беше една от първите големи платформи, които представиха Persona като партньор за верификация. През декември 2025 г. платформата надхвърли 100 милиона верифицирани профила по целия свят – важен етап, демонстриращ колко дълбоко Persona вече е вградена в инфраструктурата за идентичност на професионалния интернет. LinkedIn дава ясни обещания: Верифицираните членове получават средно с 60% повече преглеждания на профили и с 50% повече ангажираност. Верифицираните страници на компаниите отчитат 10,9 пъти повече преглеждания и 7,7 пъти повече последователи. Това са мощни стимули – и те работят.

Самият процес на проверка се осъществява чрез приложението LinkedIn. Потребителите са подканени да свържат устройството си с паспорт с активиран NFC, да сканират чипа и след това да направят селфи на живо. Това, което LinkedIn получава, е ограничено: името, както е изписано в паспорта, видът на паспорта, държавата на издаване, хеширан идентификатор и потвърждение, че проверката е била успешна. Това, което Persona събира и обработва извън този процес, обаче е значително по-обширно – и е разгледано само в собствената документация на LinkedIn с кратко позоваване на собствената политика за поверителност на Persona. Подизпълнителите, оторизирани за проверка в LinkedIn чрез Persona, включват AWS, Confluent, DBT, Elasticsearch, Google Cloud Platform, MongoDB, Sigma Computing и Snowflake. Не се предоставя съхранение на данни на европейски сървъри с гарантирано съответствие със законодателството на ЕС.

Проблемът с изтриването на данни е особено забележителен. Persona потвърждава в документацията си в LinkedIn, че данните се изтриват след проверка, но не посочва конкретна времева рамка. В контекста на други партньорства, например с Discord, беше признат период на съхранение до седем дни, което публично противоречи на твърденията на платформата. А изтеклият изходен код на правителствената инфраструктура на Persona разкрива, че биометричните списъци с лица могат да се съхраняват до три години – по-точно 1095 дни. В публичните комуникации на Persona умишлено се пази неясно какво се отнася за търговски клиенти и какво за правителствени клиенти.

Reddit: Проверка на възрастта като входна точка към биометричен контрол

Reddit представи Persona като част от прилагането на Закона за онлайн безопасност (OSA) на Обединеното кралство, който налага проверка на възрастта за онлайн платформите. Пазарът в Обединеното кралство послужи като тестов случай: потребителите, които се опитват да получат достъп до съдържание с възрастови ограничения, бяха пренасочвани към Persona за проверка на възрастта. В специалната страница с често задавани въпроси на Reddit, Persona обяснява, че действа като обработващ данни съгласно инструкциите на Reddit, събира само дата на раждане и данни за изображения и изтрива цялата останала информация в рамките на три дни. Първоначално това звучи разумно.

Ситуацията всъщност е по-сложна. Потребителите на Reddit, които са потвърдили самоличността си, съобщават за процес, който далеч надхвърля простото определяне на възрастта: събрани са NFC чип сканирания на паспорти, селфита на живо и подробни поведенчески биометрични данни – включително скорост на писане, колебание и дали информацията е копирана. Активистите за поверителност откриха, че изходният код на Persona, идентифициран от Celeste, е работил на оторизиран от FedRAMP правителствен сървър и е включвал проверки срещу списъци за наблюдение на FinCEN, списъци с политически видни лица (PEP) и списъци с глобални санкции. Всичко това протича успоредно с търговските процеси на проверка за Reddit, LinkedIn и други платформи – на същата базова инфраструктура. След значителни протести на потребителите във Великобритания, Reddit временно спря принудителната проверка на Persona за нови потребители, въпреки че вече потвърдените потребители останаха в системата.

OpenAI: Най-старата и най-непрозрачна връзка

Връзката между OpenAI и Persona е особено показателна – и хронологично най-ранната от всички големи платформени партньорства. Изследователи по сигурността откриха чрез регистрационни файлове за прозрачност на сертификатите, че специална система за списъци за наблюдение под домейна openai-watchlistdb.withpersona.com е активна от ноември 2023 г. – около 18 месеца преди OpenAI публично да обяви изискване за проверка на самоличността за достъп до GPT-5 през лятото на 2025 г. OpenAI тихомълком добави изречение към политиката си за поверителност през ноември 2024 г., отнасящо се до проверка на самоличността и възрастта от трети страни – без изрично да споменава Persona.

През септември 2024 г. самата Persona публикува страница, обясняваща, че OpenAI използва Persona, за да проверява милиони потребители месечно, като над 99% от потребителите се проверяват автоматично във фонов режим в рамките на секунди. Това означава, че не само потребителите, които активно преминават през проверка, са засегнати – проверката на фона е непрекъсната. За да получат достъп до OpenAI API и модели като GPT-5, разработчиците трябва да предоставят своята лична карта и да направят три селфита от различни ъгли – отляво, отдясно и отпред – за да създадат триизмерен профил на лицето. Forrester Research оцени това решение като отговор на регулаторния натиск, геополитическите рискове от злоупотреба с модела и необходимостта от разграничаване между легитимни корпоративни клиенти и спонсорирани от държавата участници. Последицата: Всеки, който иска да използва най-модерните инструменти за изкуствен интелект, трябва да повери лицето си на базирана в САЩ инфраструктура за проверка.

Roblox: 151 милиона потребители дневно — и задължително сканиране на лицето

Roblox е, по отношение на чистия брой потребители, най-забележителният клиент на Persona. През януари 2026 г. Roblox въведе задължително потвърждаване на възрастта за всички потребители, които искат да използват функцията за чат на платформата. Със 151 милиона активни потребители дневно, това представлява задължителен биометричен процес в безпрецедентен мащаб – особено след като значителна част от потребителската база се състои от деца и тийнейджъри. Механизмът е прост: Всеки, който иска да чати, трябва или да запише видео селфи, което Persona алгоритмично анализира, за да оцени възрастта му, или алтернативно да представи официален документ за самоличност.

Roblox и Persona подчертават, че биометричните данни и изображения се изтриват веднага след оценката на възрастта. Няма обаче независими проверки на това твърдение. Истинският проблем се крие другаде: технологията за оценка на възрастта на Persona от техническа гледна точка не е проверка на възрастта – тя оценява възрастта въз основа на черти на лицето, без да я проверява с документ. Това означава, че потребителите на Roblox се подлагат на биометрично сканиране, което не предлага нито точността на истинска проверка на самоличността, нито сигурността на проверката, базирана на документи. В същото време биометричните данни се прехвърлят към инфраструктура на САЩ, което поражда значителни опасения относно GDPR за потребителите от ЕС, особено за непълнолетните. Биометричните данни на непълнолетните са предмет на особено строги изисквания съгласно член 9 във връзка с член 8 от GDPR, което Roblox не е демонстрирал публично в настоящото си прилагане.

Фокусни области в индустрията: B2B, дигитализация (от AI до XR), машиностроене, логистика, възобновяеми енергийни източници и промишленост

Повече информация тук:

• Експертен бизнес център

Тематичен център, предлагащ анализи и експертиза:

• Платформа за знания, обхващаща глобалните и регионалните икономики, иновациите и специфичните за индустрията тенденции
• Колекция от анализи, прозрения и обща информация от ключовите ни области на фокус
• Място за експертиза и информация за актуалните развития в бизнеса и технологиите
• Център за компании, търсещи информация за пазари, дигитализация и иновации в индустрията

Discord: Най-публичното убежище и какво разкрива то

Discord е единствената голяма компания, която публично прекрати партньорството си с Persona, предоставяйки изрично обяснение – рядък момент на прозрачност в сектора. През януари 2026 г. Discord пусна Persona за целите на проверката на възрастта във Великобритания като част от неразкрита пилотна програма. Когато партньорството стана публично достояние, то предизвика масова негативна реакция от страна на потребителите. Главният технологичен директор на Discord, Станислав Вишневски, призна, че компанията се е провалила в комуникацията си. Истинската ескалация настъпи, когато изследователи по сигурността не само разкриха връзката с Фонда за основатели на Питър Тийл, но и откриха архивирана страница за поддръжка, на която се споменаваше, че Persona запазва данни в продължение на седем дни – което пряко противоречи на предишни твърдения на компанията за почти незабавно изтриване.

Впоследствие Discord формулира нов, ясен набор от изисквания за всички бъдещи партньори за проверка: Биометричните данни трябва да се обработват изцяло на устройството на потребителя и не трябва да напускат устройството. Persona изрично не отговаря на този стандарт и следователно е изключена от договора. Това изискване е новаторско както от техническа гледна точка, така и от гледна точка на защитата на данните: То определя обработката на устройството като минимален стандарт за биометрична проверка на възрастта. Фактът, че никой от другите големи клиенти на Persona не е поискал публично този стандарт, показва колко далеч е индустрията от тази норма. В допълнение към трудностите, Discord се сблъскваше и с отделно нарушение на данните едновременно със случая с Persona: При друг доставчик на услуги за проверка на възрастта официалните документи за самоличност на приблизително 70 000 потребители бяха компрометирани – ситуация, която ярко илюстрира структурния риск от аутсорсинг на биометрични проверки на трети страни.

VRChat: Проверка на самоличността във виртуална реалност

VRChat, платформата за социална виртуална реалност със специализирана международна потребителска база, също внедри Persona като свой партньор за проверка на възрастта. Поради нарастващите регулаторни изисквания за онлайн платформите – особено във Великобритания и ЕС – VRChat беше принудена да внедри система за проверка на възрастта. Избраната система: Persona. Реакцията на общността беше ожесточена. Потребителските форуми бяха залети от подробни анализи на инфраструктурата на Persona, препратки към връзката с Фонда на основателите на Thiel и колективен призив за преразглеждане на внедряването.

В официалните си съобщения VRChat подчертава, че не получава изображения на документи за самоличност или лицеви сканирания – само хеш стойност, която потвърждава проверката. Persona също така твърди, че не получава информация за самоличността на потребителя във VRChat. Това е в съответствие със собствената архитектура за защита на данните на Persona, но от гледна точка на поверителността на данните, това е само частично решение: самата Persona притежава всички сурови биометрични данни, независимо от това, което се споделя с платформата. Европейските потребители от общността на VRChat правилно посочват, че технологията за електронна идентификация – която позволява проверка на възрастта без предаване на биометрични данни – съществува като сигурна алтернатива, но изрично не се поддържа от Persona. От европейска гледна точка на защитата на данните, това отхвърляне е трудно за оправдание.

Upwork: Когато проверката на самоличността стане изискване за работа

В Upwork, най-голямата платформа за фрийлансъри в света, проверката на самоличността има особено пряко икономическо въздействие. Фрийлансърите са длъжни да потвърдят самоличността си – или проактивно, като платят 35 Connects (вътрешната валута на платформата), или принудително, когато кандидатстват за заеми, работа, специфична за САЩ, или след спиране на акаунта. Тези, които не завършат проверката в рамките на седем дни, рискуват да им бъде спрян акаунтът.

Това е забележително в няколко отношения. Първо, Upwork директно свързва биометричната проверка с икономическото участие: Всеки, който иска да работи и да получава заплащане, трябва да бъде проверен – и това се прави чрез американска инфраструктура на трета страна. За фрийлансърите в ЕС това означава прехвърляне на биометричните им данни към американска правна система, за което не съществува реалистична алтернатива. Второ, Upwork позволява рутинни повторни проверки: Потребителите съобщават, че са били помолени да потвърдят самоличността си многократно, дори когато няма видима причина. Трето, собствената комуникация на Upwork относно обхвата на обработката на данни е неясна: Платформата описва проверката като проверка на самоличността, без да уточнява точните потоци от данни към Persona или нейните политики за съхранение на данни.

Скритата правителствена инфраструктура: Какво разкрива изтичането на изходния код

Истински обезпокоителният аспект на инфраструктурата на Persona не е това, което компанията публично съобщава, а по-скоро това, което разкри случайна грешка в конфигурацията. През февруари 2026 г. изследователи по сигурността откриха, че 53 мегабайта изходен код от правителствената платформа на Persona са публично достъпни без никаква атака или неоторизиран достъп. Системата за изграждане Vite беше оставила картите с изходния код публично достъпни – недостатък в дизайна, който разкри цялата вътрешна архитектура.

Това, което изследователите откриха, надмина очакванията: 2456 изходни файла, документиращи 269 различни проверки за верификация. Платформата, работеща върху оторизирана от FedRAMP правителствена инфраструктура под името ONYX, съдържа пълни модули за директно подаване на доклади за подозрителна дейност (SAR) до FinCEN, мрежата за финансови разследвания на Министерството на финансите на САЩ, и нейния канадски еквивалент FINTRAC. Тя включва биометрични бази данни за лица, които се съпоставят със списъци за наблюдение, модули за разпознаване на лица PEP (политически експонирани лица) и 13 различни вида списъци за проследяване, включително лица, пръстови отпечатъци на браузъра и геолокации. Кодът изрично показва, че биометричните списъци с лица могат да се съхраняват до 1095 дни - тоест три години. Едновременно с това, в регистрите за прозрачност на сертификатите се появява нов поддомейн, наречен onyx.withpersona-gov.com, който е времево свързан с инструмента Fivecast ONYX - инструмент за наблюдение, задвижван от изкуствен интелект, който ICE поръча за 4,2 милиона долара и който генерира оценки на риска за социалните медии и тъмната мрежа. Дали това съвпадение на имената е случайност или структурна връзка, не е окончателно доказано. Доказаното обаче е, че правителствената инфраструктура на Persona работи на същата техническа основа като търговската инфраструктура, която захранва LinkedIn, Reddit и OpenAI.

Двойната роля на FedRAMP и Persona

Един аспект, който получава малко внимание в публичните дискусии, е сертифицирането по FedRAMP на Persona. FedRAMP – Федералната програма за управление на риска и оторизациите – е американската система за сертифициране на сигурността на облачните услуги за федерални агенции. През октомври 2025 г. Persona получи сертификат FedRAMP Low Impact Authorized и е на път да получи сертификат FedRAMP Moderate Ready. Това означава, че Persona вече е акредитиран доставчик на инфраструктура за федералните агенции на САЩ. Търговската платформа, която проверява потребителите на LinkedIn, и правителствената платформа, която предоставя проверки на самоличността на федералните агенции, са под един и същ чадър – технически разделени чрез внедряване, но правно и организационно под една и съща корпоративна структура.

За европейските потребители това е от решаващо значение, защото издига въпроса за Закона CLOUD на ново ниво. Законът CLOUD задължава американските компании да предоставят достъп до данни на американските власти при поискване – независимо от местоположението на сървъра. Компания, която едновременно обработва търговски биометрични данни от милиони потребители по целия свят и е акредитиран доставчик на инфраструктура за федералните агенции на САЩ, представлява комбинация, при която границите между търговски услуги и правителствена инфраструктура са структурно размити. Това не е подозрение – това е описание на бизнес модела.

Какво трябва да знаят и правят потребителите

Разбирането на персонната инфраструктура променя начина, по който оценяваме едно привидно просто решение: Трябва ли да потвърдя профила си в LinkedIn? 60-процентното увеличение на преглежданията на профили звучи изкушаващо. Но истинският въпрос е: Какво печеля аз от това? Отговорът е многостранен.

Всеки, който потвърждава самоличността си чрез Persona в LinkedIn, Reddit, OpenAI или Roblox, предава биометрични данни на американска компания, сертифицирана от FedRAMP доставчик на правителствена инфраструктура, управлявана от Фонда на основателите на Питър Тийл, който споделя същия председател-основател като Palantir, и чийто изтекъл сорс код разкрива инфраструктура за наблюдение, която далеч надхвърля простото потвърждаване на самоличността. Жителите на ЕС имат право на достъп, заличаване и възражение съгласно GDPR. Заявките за изтриване на данни до Persona могат да бъдат подадени директно чрез DSAR (Заявка за достъп до данни) - няколко потребители обаче съобщават, че Persona отговаря на такива заявки с автоматизирани и неясни отговори.

За самите платформи, поуката се крие в решението на Discord: обработката на устройството като стандарт, а не изключение. Проверката на възрастта не означава непременно, че суровите биометрични данни преминават през сървърна инфраструктура на САЩ. Европейски системи за електронна идентификация, национални портфейли за самоличност и децентрализирани архитектури за проверка съществуват като технически алтернативи. Фактът, че те не се използват, е политическо и икономическо решение, а не техническа необходимост.

Структурният въпрос: Кой изгражда интернет на идентичностите?

Този списък не дава отговори, а по-скоро повдига въпрос, който става все по-належащ: Кой трябва да контролира инфраструктурата за идентичност в интернет? До 2026 г. фактическият отговор е частна компания в Сан Франциско, финансирана от Питър Тийл, с двойна роля като търговски доставчик на KYC и акредитирана инфраструктура на правителството на САЩ. LinkedIn е верифицирал 100 милиона профила в тази система. Reddit верифицира възрастови групи под британски и скоро общоевропейски натиск. Roblox подлага 151 милиона потребители дневно на задължително лицево сканиране. OpenAI изисква биометрична проверка за достъп до най-мощните модели на изкуствен интелект в света.

Тази концентрация не е неизбежна. Тя е резултат от пазарни решения, взети при слаб регулаторен контрол и липса на публична прозрачност. Законът на ЕС за изкуствения интелект, GDPR и Цифровият пакет на ЕС предоставят правните инструменти за регулиране на тази концентрация и насърчаване на европейски алтернативи. Липсва политическата воля за тяхното прилагане – и обществената осведоменост, че въпросът кой управлява публичния им имидж не е технически детайл, а основен въпрос на демократичното самоопределение в дигиталната епоха.