Den hemliga datainsamlaren: Vem ligger egentligen bakom verifieringarna av LinkedIn, OpenAI & Co

Källkodsläcka avslöjar: Vad som egentligen händer med dina ID-uppgifter på Reddit, Roblox och LinkedIn

Alla som navigerar på internet idag måste i allt högre grad bevisa sin identitet. Oavsett om det gäller den eftertraktade LinkedIn-"bockstämpeln", tillgång till OpenAI:s kraftfulla AI-modeller, åldersverifiering på Reddit eller chatt på Roblox – att sträcka sig efter ett pass och ta den obligatoriska videoselfien håller på att bli det nya normala. Men medan användare tror att de anförtror sina känsliga biometriska uppgifter direkt till respektive plattformar, verkar en osynlig kraft i bakgrunden: den amerikanska startupen "Persona". Med över 300 miljoner verifierade identiteter har företaget, med stöd av inflytelserika investerare, blivit den hemliga infrastrukturen för det digitala livet. Men det till synes bekväma systemet har en stor brist: en läcka av känslig källkod, tvivelaktiga datalagringsperioder och nära band till amerikanska myndigheter väcker allvarliga problem med dataskyddet. Vad händer egentligen med våra ansikten och ID:n? Och varför var Discord den enda stora plattformen som drog ur kontakten efter massiva användarprotester? En undersökning av en datajättes dolda serverstrukturer.

Internets osynliga ryggrad: Hur LinkedIn, Reddit, OpenAI, Roblox och andra plattformar använder personas – och vad det betyder för dina data

Ett företag, 148 000 kunder, 300 miljoner dataposter – och knappt någon vet om det

När en LinkedIn-användare verifierar sin profil tror de att de pratar med LinkedIn. När en Reddit-användare bekräftar sin ålder litar de på Reddit. När en Roblox-spelare håller upp sitt ansikte mot kameran gör de det i tron ​​att Roblox är personen de interagerar med. I verkligheten är det samma företag i alla dessa fall: Persona Identities, Inc., en San Francisco-baserad startup som grundades 2018 och som de facto har blivit den identitetsinfrastruktur som används för stora delar av internet. År 2024 hade Persona genomfört över 300 miljoner identitetsverifieringar, vilket fördubblade både sina intäkter och sin kundbas. Plattformarna som använder Personas tjänster framstår som ett tvärsnitt av det moderna digitala livet – och ändå är namnet Persona helt okänt för de flesta användare.

Detta är ingen slump. Personas affärsmodell bygger medvetet på osynlighet: Medan plattformarna odlar användarrelationer och bygger förtroende, hanterar Persona själva verifieringen i bakgrunden. Med en värdering på 2 miljarder dollar efter sin Serie D-finansieringsrunda i april 2025 och investerare som Founders Fund, Ribbit Capital och Index Ventures, är företaget bland de mest betydande privatägda identitetsteknologiföretagen världen över. Det som för användarna framstår som en bekväm verifieringsprocess är i verkligheten en koncentrerad datainsamlingsinfrastruktur som går långt utöver vad som skulle vara nödvändigt för en enkel identitetskontroll.

Relaterat till detta:

• Identitetsverifiering | Ditt ansikte och dina uppgifter tillhör inte dig – Anthropic (Claude), LinkedIn och den nya ekonomin för biometrisk kontroll

LinkedIn: 100 miljoner verifierade profiler – och vad som finns bakom dem

LinkedIn var en av de första stora plattformarna som introducerade Persona som verifieringspartner. I december 2025 passerade plattformen 100 miljoner verifierade profiler världen över – en milstolpe som visar hur djupt Persona redan är inbäddad i den professionella webbens identitetsinfrastruktur. LinkedIn ger tydliga löften: Verifierade medlemmar får i genomsnitt 60 procent fler profilvisningar och 50 procent mer engagemang. Verifierade företagssidor rapporterar 10,9 gånger fler visningar och 7,7 gånger fler följare. Dessa är kraftfulla incitament – ​​och de fungerar.

Själva verifieringsprocessen sker via LinkedIn-appen. Användare uppmanas att ansluta sin enhet till ett NFC-aktiverat pass, skanna chipet och sedan ta en live-selfie. Vad LinkedIn får är begränsat: namnet som det visas i passet, passtyp, utfärdandeland, en hashad identifierare och en bekräftelse på att verifieringen lyckades. Det som Persona samlar in och behandlar utöver denna process är dock betydligt mer omfattande – och tas endast upp i LinkedIns egen dokumentation med en kort hänvisning till Personas egen integritetspolicy. De underleverantörer som är auktoriserade för LinkedIn-verifiering via Persona inkluderar AWS, Confluent, DBT, Elasticsearch, Google Cloud Platform, MongoDB, Sigma Computing och Snowflake. Datalagring på europeiska servrar med garanterad efterlevnad av EU-rätt tillhandahålls inte.

Frågan om radering av data är särskilt anmärkningsvärd. Persona bekräftar i sin LinkedIn-dokumentation att data raderas efter verifiering – men anger ingen konkret tidsram. I samband med andra partnerskap, till exempel med Discord, erkändes en lagringsperiod på upp till sju dagar, vilket offentligt motsade plattformens uttalanden. Och den läckta källkoden för Personas myndighetsinfrastruktur avslöjar att biometriska ansiktslistor kan lagras i upp till tre år – mer exakt 1 095 dagar. Vad som gäller för kommersiella kunder och vad som gäller för myndighetskunder hålls medvetet vagt i Personas offentliga kommunikation.

Reddit: Åldersverifiering som ingångspunkt för biometrisk kontroll

Reddit introducerade Persona som en del av implementeringen av Storbritanniens Online Safety Act (OSA), som krävde åldersverifiering för onlineplattformar. Den brittiska marknaden fungerade som ett testfall: användare som försökte komma åt åldersbegränsat innehåll omdirigerades till Persona för åldersverifiering. På Reddits dedikerade FAQ-sida förklarar Persona att de agerar som databehandlare enligt Reddits instruktioner, endast samlar in födelsedatum och bilddata och raderar all annan information inom tre dagar. Detta låter rimligt till en början.

Situationen är faktiskt mer komplex. Reddit-användare som verifierade sina identiteter rapporterar en process som går långt utöver enkel åldersuppskattning: NFC-chipskanningar av pass, live-selfies och detaljerad beteendebiometri samlades in – inklusive skrivhastighet, tvekan och om informationen kopierades. Integritetsaktivister upptäckte att Persona-källkoden som identifierades av Celeste kördes på en FedRAMP-auktoriserad regeringsserver och inkluderade kontroller mot FinCEN-bevakningslistor, listor över politiskt exponerade personer (PEP) och globala sanktionslistor. Allt detta löper parallellt med de kommersiella verifieringsprocesserna för Reddit, LinkedIn och andra plattformar – på samma underliggande infrastruktur. Efter betydande användarprotester i Storbritannien avbröt Reddit tillfälligt tvångsverifiering av Persona för nya användare, även om redan verifierade användare fanns kvar i systemet.

OpenAI: Den äldsta och mest ogenomskinliga anslutningen

Relationen mellan OpenAI och Persona är särskilt avslöjande – och kronologiskt sett det tidigaste av alla större plattformspartnerskap. Säkerhetsforskare upptäckte via loggar för certifikattransparens att ett dedikerat bevakningssystem under domänen openai-watchlistdb.withpersona.com hade varit aktivt sedan november 2023 – cirka 18 månader innan OpenAI offentligt tillkännagav ett krav på identitetsverifiering för åtkomst till GPT-5 sommaren 2025. OpenAI hade i tysthet lagt till en mening i sin integritetspolicy i november 2024 som hänvisade till identitets- och åldersverifiering av tredjepartsleverantörer – utan att uttryckligen nämna Persona.

I september 2024 publicerade Persona själva en sida som förklarade att OpenAI använder Persona för att verifiera miljontals användare varje månad, där över 99 procent av användarna verifieras automatiskt i bakgrunden inom några sekunder. Det innebär att inte bara användare som aktivt genomgår verifiering påverkas – bakgrundskontroller sker kontinuerligt. För att komma åt OpenAI API och modeller som GPT-5 måste utvecklare skicka in sitt ID och ta tre selfies från olika vinklar – vänster, höger och framifrån – för att skapa en tredimensionell ansiktsprofil. Forrester Research bedömde detta beslut som ett svar på regulatoriskt tryck, geopolitiska risker för missbruk av modeller och behovet av att skilja mellan legitima företagskunder och statligt sponsrade aktörer. Konsekvensen: Den som vill använda de mest avancerade AI-verktygen måste anförtro sitt ansikte till en USA-baserad verifieringsinfrastruktur.

Roblox: 151 miljoner dagliga användare – och obligatorisk ansiktsskanning

Roblox är, sett till antalet användare, den mest anmärkningsvärda Persona-klienten. I januari 2026 införde Roblox obligatorisk åldersverifiering för alla användare som vill använda plattformens chattfunktion. Med 151 miljoner dagliga aktiva användare representerar detta en påtvingad biometrisk process i en aldrig tidigare skådad skala – särskilt eftersom en betydande del av användarbasen består av barn och tonåringar. Mekanismen är enkel: Den som vill chatta måste antingen spela in en videoselfie, som Persona algoritmiskt analyserar för att uppskatta deras ålder, eller alternativt skicka in ett officiellt ID.

Roblox och Persona betonar att biometriska data och bilder raderas omedelbart efter åldersuppskattning. Det finns dock inga oberoende verifieringar av detta påstående. Det verkliga problemet ligger någon annanstans: Personas teknik för åldersuppskattning är, ur ett tekniskt perspektiv, inte en åldersverifiering – den uppskattar ålder baserat på ansiktsdrag utan att verifiera den med ett dokument. Detta innebär att Roblox-användare utsätts för en biometrisk skanning som varken erbjuder samma noggrannhet som en riktig ID-kontroll eller samma säkerhet som en dokumentbaserad verifiering. Samtidigt överförs de biometriska uppgifterna till en amerikansk infrastruktur – vilket väcker betydande GDPR-problem för EU-användare, särskilt minderåriga. Biometriska uppgifter om minderåriga omfattas av särskilt stränga krav enligt artikel 9 i samband med artikel 8 i GDPR, vilket Roblox inte har offentligt visat i sin nuvarande implementering.

Vår expertis inom EU och Tyskland inom affärsutveckling, försäljning och marknadsföring - Bild: Xpert.Digital

Branschfokusområden: B2B, digitalisering (från AI till XR), maskinteknik, logistik, förnybar energi och industri

Mer information här:

• Expertföretagsnav

Ett tematiskt nav som erbjuder insikter och expertis:

• Kunskapsplattform som täcker globala och regionala ekonomier, innovation och branschspecifika trender
• En samling analyser, insikter och bakgrundsinformation från våra viktigaste fokusområden
• En plats för expertis och information om aktuell utveckling inom näringsliv och teknologi
• En knutpunkt för företag som söker information om marknader, digitalisering och branschinnovationer

Disharmoni: Den mest offentliga reträtten och vad den avslöjar

Discord är det enda stora företaget som offentligt har avslutat sitt partnerskap med Persona och lämnat en uttrycklig förklaring – ett sällsynt ögonblick av transparens inom sektorn. I januari 2026 lanserade Discord Persona för åldersverifiering i Storbritannien som en del av ett icke avslöjat pilotprogram. När partnerskapet blev offentligt utlöste det en massiv motreaktion från användarna. Discords tekniska chef, Stanislav Vishnevskiy, erkände att företaget hade misslyckats i sin kommunikation. Den verkliga eskaleringen kom när säkerhetsforskare inte bara avslöjade kopplingen till Peter Thiels Founders Fund utan också hittade en arkiverad supportsida som nämnde att Persona behöll data i sju dagar – vilket direkt motsäger tidigare uttalanden från företaget om nästan omedelbar radering.

Discord formulerade därefter en ny, tydlig uppsättning krav för alla framtida verifieringspartners: Biometriska data måste behandlas helt på användarens enhet och får inte lämna enheten. Persona uppfyllde uttryckligen inte denna standard – och uteslöts därför från kontraktet. Detta krav är banbrytande ur både ett tekniskt och dataskyddsperspektiv: Det definierar bearbetning på enheten som minimistandarden för biometrisk åldersverifiering. Det faktum att ingen av Personas andra större kunder offentligt har krävt denna standard visar hur långt branschen fortfarande är från denna norm. För att ytterligare förvärra svårigheterna stod Discord också inför ett separat dataintrång samtidigt med Persona-fallet: Hos en annan leverantör av åldersverifiering komprometterades de officiella identitetshandlingarna för cirka 70 000 användare – en situation som tydligt illustrerade den strukturella risken med att outsourca biometriska kontroller till tredjepartsleverantörer.

VRChat: Identitetsverifiering i virtuell verklighet

VRChat, den sociala plattformen för virtual reality med en dedikerad internationell användarbas, implementerade också Persona som sin partner för åldersverifiering. På grund av ökande regulatoriska krav för onlineplattformar – särskilt i Storbritannien och EU – tvingades VRChat implementera ett system för åldersverifiering. Systemet som valdes: Persona. Reaktionen från communityn var hård. Användarforum översvämmade med detaljerade analyser av Personas infrastruktur, referenser till Thiel Founders Fund-kopplingen och en gemensam uppmaning att ompröva implementeringen.

VRChat betonar i sin officiella kommunikation att de inte tar emot bilder av identitetsdokument eller ansiktsskanningar – endast ett hashvärde som bekräftar verifieringen. Persona hävdar inte heller att de tar emot någon information om användarens identitet inom VRChat. Detta överensstämmer med Personas egen dataskyddsarkitektur, men ur ett dataskyddsperspektiv är det bara en dellösning: Persona innehar själva all rå biometrisk data, oavsett vad som delas med plattformen. Europeiska användare av VRChat-communityn påpekar med rätta att eID-teknik – som möjliggör åldersverifiering utan att överföra biometriska data – existerar som ett säkert alternativ, men uttryckligen inte stöds av Persona. Ur ett europeiskt dataskyddsperspektiv är detta avslag svårt att motivera.

Upwork: När identitetsverifiering blir ett jobbkrav

På Upwork, världens största frilansplattform, har personverifiering en särskilt direkt ekonomisk inverkan. Frilansare är skyldiga att verifiera sin identitet – antingen proaktivt genom att betala 35 Connects (plattformens interna valuta) eller med tvång när de ansöker om lån, USA-specifika jobb eller efter kontoavstängning. De som inte slutför verifieringen inom sju dagar riskerar kontoavstängning.

Detta är anmärkningsvärt på flera sätt. För det första kopplar Upwork direkt biometrisk verifiering till ekonomiskt deltagande: Alla som vill arbeta och få betalt måste verifieras – och detta görs via en tredjepartsinfrastruktur från USA. För frilansare i EU innebär detta att de överför sina biometriska uppgifter till ett amerikanskt rättssystem, för vilket det inte finns något realistiskt alternativ. För det andra tillåter Upwork rutinmässiga omverifieringar: Användare rapporterar att de blir ombedda att verifiera sin identitet flera gånger, även när det inte finns någon uppenbar anledning. För det tredje är Upworks egen kommunikation angående omfattningen av databehandlingen vag: Plattformen beskriver verifiering som en identitetskontroll utan att specificera de exakta dataflödena till Persona eller dess datalagringspolicyer.

Den dolda statliga infrastrukturen: Vad källkodsläckan avslöjar

Den verkligt oroande aspekten av Personas infrastruktur är inte vad företaget offentliggör – utan snarare vad ett slumpmässigt konfigurationsfel avslöjade. I februari 2026 upptäckte säkerhetsforskare att 53 megabyte källkod från Personas myndighetsplattform var offentligt tillgänglig utan någon attack eller obehörig åtkomst. Vite-byggsystemet hade lämnat källkodskartor offentligt tillgängliga – ett designfel som avslöjade hela den interna arkitekturen.

Forskarna fann överträffade förväntningarna: 2 456 källfiler som dokumenterar 269 olika verifieringskontroller. Plattformen, som körs på FedRAMP-auktoriserad statlig infrastruktur under namnet ONYX, innehåller kompletta moduler för direkt inlämning av rapporter om misstänkt aktivitet (SAR) till FinCEN, det amerikanska finansdepartementets finansiella utredningsnätverk, och dess kanadensiska motsvarighet, FINTRAC. Den har ansiktsbiometriska databaser som matchas mot bevakningslistor, PEP-moduler (politiskt exponerade personer) ansiktsigenkänningsmoduler och 13 olika typer av spårningslistor, inklusive ansikten, webbläsarfingeravtryck och geolokaliseringar. Koden visar uttryckligen att biometriska ansiktslistor kan lagras i upp till 1 095 dagar – det vill säga tre år. Samtidigt visas en ny underdomän med namnet onyx.withpersona-gov.com i certifikattransparensloggarna, som är tidsmässigt länkad till Fivecast ONYX-verktyget – ett AI-drivet övervakningsverktyg som ICE beställde för 4,2 miljoner dollar och som genererar riskbedömningar av sociala medier och den mörka webben. Huruvida detta namnsammanträffande är en slump eller ett strukturellt samband har inte slutgiltigt bevisats. Vad som däremot är bevisat är att Personas myndighetsinfrastruktur löper på samma tekniska grund som den kommersiella infrastrukturen som driver LinkedIn, Reddit och OpenAI.

FedRAMP och Personas dubbla roll

En aspekt som får lite uppmärksamhet i den offentliga diskussionen är Personas FedRAMP-certifiering. FedRAMP – Federal Risk and Authorization Management Program – är det amerikanska systemet för att certifiera säkerheten för molntjänster för federala myndigheter. I oktober 2025 uppnådde Persona FedRAMP Low Impact Authorized-certifieringen och är på god väg mot FedRAMP Moderate Ready-certifieringen. Detta innebär att Persona nu är en ackrediterad infrastrukturleverantör för amerikanska federala myndigheter. Den kommersiella plattformen som verifierar LinkedIn-användare och den statliga plattformen som tillhandahåller identitetskontroller till federala myndigheter ligger således under samma paraply – tekniskt separerade genom implementeringar, men juridiskt och organisatoriskt under samma företagsstruktur.

För europeiska användare är detta avgörande eftersom det tar CLOUD Act-frågan till en ny nivå. CLOUD Act förpliktar amerikanska företag att bevilja amerikanska myndigheter tillgång till data på begäran – oavsett serverplats. Ett företag som samtidigt behandlar kommersiella biometriska data från miljontals användare världen över och är en ackrediterad infrastrukturleverantör för amerikanska federala myndigheter representerar en kombination där gränserna mellan kommersiell tjänst och statlig infrastruktur är strukturellt suddiga. Detta är inte en misstanke – det är en beskrivning av affärsmodellen.

Vad användare bör veta och göra

Att förstå personainfrastrukturen förändrar hur vi utvärderar ett till synes enkelt beslut: Ska jag verifiera min LinkedIn-profil? Den 60-procentiga ökningen av profilvisningar låter frestande. Men den verkliga frågan är: Vad får jag ut av det? Svaret är mångfacetterat.

Den som verifierar sin identitet via Persona på LinkedIn, Reddit, OpenAI eller Roblox lämnar över biometriska data till ett amerikanskt företag som är en FedRAMP-certifierad leverantör av statlig infrastruktur, driven av Peter Thiels Founders Fund, som delar samma grundande ordförande som Palantir, och vars läckta källkod avslöjar en övervakningsinfrastruktur som går långt utöver enkel identitetsverifiering. EU-invånare har rätt till åtkomst, radering och invändningar enligt GDPR. Begäran om radering av data till Persona kan skickas direkt via DSAR (Data Subject Access Request) – dock rapporterar flera användare att Persona svarar på sådana förfrågningar med automatiserade och vaga svar.

För plattformarna själva ligger lärdomen i Discords beslut: bearbetning på enheten som standard, inte undantag. Åldersverifiering behöver inte betyda att biometriska rådata passerar genom en amerikansk serverinfrastruktur. Europeiska e-ID-system, nationella identitetsplånböcker och decentraliserade verifieringsarkitekturer finns som tekniska alternativ. Att de inte används är ett politiskt och ekonomiskt beslut – inte en teknisk nödvändighet.

Den strukturella frågan: Vem bygger identiteternas internet?

Denna inventering ger inga svar, utan väcker snarare en fråga som blir alltmer brådskande: Vem ska kontrollera internets identitetsinfrastruktur? År 2026 är svaret i praktiken ett privat företag i San Francisco, finansierat av Peter Thiel, med en dubbel roll som kommersiell KYC-leverantör och ackrediterad infrastruktur för den amerikanska regeringen. LinkedIn har verifierat 100 miljoner profiler inom detta system. Reddit verifierar åldersgrupper under brittiskt och snart EU-omfattande tryck. Roblox utsätter 151 miljoner dagliga användare för obligatorisk ansiktsskanning. OpenAI kräver biometrisk verifiering för åtkomst till världens kraftfullaste AI-modeller.

Denna koncentration är inte oundviklig. Den är resultatet av marknadsbeslut som fattas under svag regleringskontroll och med bristande offentlig transparens. EU:s AI-lag, GDPR och EU:s digitala paket ger de rättsliga verktygen för att reglera denna koncentration och främja europeiska alternativ. Det som saknas är den politiska viljan att genomdriva dem – och allmänhetens medvetenhet om att frågan om vem som hanterar sin offentliga image inte är en teknisk detalj, utan en kärnfråga om demokratiskt självbestämmande i den digitala tidsåldern.