Proveedor de KYC de OpenAI acusado de compartir datos de usuarios con agencias de EE. UU.

Una investigación de seguridad ha acusado a Persona, la empresa que gestiona las verificaciones de conocimiento del cliente para OpenAI, de enviar datos de usuarios, incluidas direcciones cripto, a agencias federales como FinCEN. Los investigadores encontraron código que permite el monitoreo y el reporte de actividades sospechosas. Persona niega tener lazos actuales con agencias federales.

El 18 de febrero, los investigadores de seguridad vmfunc, MDL y Dziurwa publicaron una investigación que revela código accesible públicamente en el sistema de Persona que parece transmitir datos recopilados durante el proceso de KYC de OpenAI a la Red para la Ejecución de Delitos Financieros (FinCEN), una oficina del Departamento del Tesoro de EE. UU. Estos datos incluyen fotos de pasaporte, selfies y videos enviados por usuarios para verificar su identidad y acceder a funciones avanzadas de ChatGPT. El código, vigente desde noviembre de 2023, también se integra con Chainalysis para examinar direcciones cripto asociadas en busca de riesgos, analizar interacciones y permitir un monitoreo persistente mediante un sistema de lista de vigilancia. Los investigadores destacaron las capacidades de la plataforma, afirmando: «La misma empresa que toma tu foto de pasaporte al registrarte en ChatGPT también opera una plataforma gubernamental que presenta informes de actividad sospechosa a FinCEN y los etiqueta con nombres en código de programas de inteligencia». Añadieron: «¿Subiste una selfie para usar un chatbot? ¡Felicidades! Ahora se está comparando con una base de datos de todos los políticos, jefes de Estado y su extenso árbol genealógico en la Tierra». Múltiples expertos en seguridad, incluido Tanuki42 de grupos de respuesta a incidentes en blockchain, confirmaron la credibilidad de los hallazgos, señalando que los dominios gubernamentales citados existen y probablemente son alojados por Persona. Sin embargo, quedan preguntas sobre los motivos, el uso y los criterios exactos para activar cribados o informes. El CEO de Persona, Rick Song, respondió en X expresando decepción y afirmando que los investigadores no lo contactaron antes. En correos electrónicos compartidos por Song, declaró que su empresa no trabaja con ninguna agencia federal en la actualidad, aunque no abordó directamente las implicaciones del código. Una publicación de Song decía: «Estoy realmente decepcionado de cómo se ha manejado todo esto» y elogió el talento de vmfunc. OpenAI y Persona no respondieron a las solicitudes de comentarios de DL News. Estas revelaciones generan preocupación en medio de la creciente inquietud por los requisitos de KYC, que sirven para cribar sanciones, vínculos con el terrorismo y delitos financieros, pero también exponen a los usuarios a posibles usos indebidos de datos o brechas. Los plazos de retención no están claros, con discrepancias entre el límite de un año declarado por OpenAI y el código que indica hasta tres años o almacenamiento permanente para documentos de identidad gubernamentales.

Artículos relacionados

Illustration of Meta's data leak involving employee tracking program, showing a computer with data spilling out.
Imagen generada por IA

Meta pauses employee tracking program after data leak

Reportado por IA Imagen generada por IA

Meta has paused its Model Capability Initiative after sensitive employee data was exposed internally. The program tracks workers' keystrokes and mouse movements to train AI models. Company officials said they are investigating the incident.

OpenAI is facing an investigation by a coalition of state attorneys general after receiving a subpoena on June 12 seeking documents on its operations and user impact.

Reportado por IA

OpenAI plans to release its upcoming ChatGPT 5.6 model first only to customers approved by the US federal government. The staggered rollout follows a recent executive order on voluntary AI model reviews.

In the wake of Anthropic's unveiling of its powerful Claude Mythos AI—capable of detecting and exploiting software vulnerabilities—the US Treasury Secretary has convened top bank executives to highlight escalating AI-driven cyber threats. The move underscores growing concerns as the AI is restricted to a tech coalition via Project Glasswing.

Reportado por IA

Germany's financial regulator BaFin has warned banks about risks from Anthropic's Claude Mythos AI model, following US Treasury alerts. The model autonomously detects IT vulnerabilities at scale, potentially accelerating cyberattacks. US banks are testing it amid restrictions.

Este sitio web utiliza cookies

Utilizamos cookies para análisis con el fin de mejorar nuestro sitio. Lee nuestra política de privacidad para más información.
Rechazar