Fournisseur KYC d'OpenAI accusé de partager des données utilisateurs avec des agences américaines

Une enquête de sécurité accuse Persona, la société gérant les vérifications « connaissez votre client » pour OpenAI, d'envoyer des données utilisateurs incluant des adresses crypto à des agences fédérales comme FinCEN. Des chercheurs ont découvert du code permettant la surveillance et le signalement d'activités suspectes. Persona nie tout lien actuel avec des agences fédérales.

Le 18 février, les chercheurs en sécurité vmfunc, MDL et Dziurwa ont publié une enquête révélant du code accessible publiquement dans le système de Persona qui semble transmettre des données collectées lors du processus KYC d'OpenAI au Réseau d'application des crimes financiers (FinCEN), un bureau du Trésor américain. Ces données incluent des photos de passeport, des selfies et des vidéos soumis par les utilisateurs pour vérifier leur identité afin d'accéder aux fonctionnalités avancées de ChatGPT. Le code, en place depuis novembre 2023, s'intègre également avec Chainalysis pour examiner les adresses crypto associées à des risques, analyser les interactions et permettre une surveillance persistante via un système de liste de surveillance. Les chercheurs ont mis en lumière les capacités de la plateforme, déclarant : « La même entreprise qui prend votre photo de passeport lors de l'inscription à ChatGPT exploite aussi une plateforme gouvernementale qui dépose des rapports d'activité suspecte auprès de FinCEN et les étiquette avec des noms de code de programmes de renseignement. » Ils ont ajouté : « Donc vous avez téléchargé un selfie pour utiliser un chatbot ? Félicitations ! Il est maintenant comparé à une base de données de tous les politiciens, chefs d'État et leur arbre généalogique étendu sur Terre. » Plusieurs experts en sécurité, dont Tanuki42 de groupes de réponse aux incidents blockchain, ont confirmé la crédibilité des découvertes, notant que les domaines gouvernementaux cités existent et sont probablement hébergés par Persona. Des questions subsistent cependant sur les motivations, l'utilisation et les critères exacts pour déclencher des criblages ou des rapports. Le PDG de Persona, Rick Song, a répondu sur X, exprimant sa déception et affirmant que les chercheurs ne l'avaient pas contacté au préalable. Dans des e-mails partagés par Song, il a déclaré que son entreprise ne travaille avec aucune agence fédérale aujourd'hui, sans aborder directement les implications du code. Un post de Song indiquait : « Je suis vraiment déçu de la manière dont tout cela a été géré », et il a loué le talent de vmfunc. OpenAI et Persona n'ont pas répondu aux demandes de commentaire de DL News. Ces révélations soulèvent des inquiétudes au milieu d'une méfiance croissante envers les exigences KYC, qui criblent les sanctions, liens terroristes et crimes financiers mais exposent aussi les utilisateurs à des abus potentiels de données ou des violations. Les durées de conservation sont floues, avec des divergences entre la limite d'un an annoncée par OpenAI et le code indiquant jusqu'à trois ans ou un stockage permanent pour les pièces d'identité gouvernementales.

Articles connexes

Illustration of Meta's data leak involving employee tracking program, showing a computer with data spilling out.
Image générée par IA

Meta pauses employee tracking program after data leak

Rapporté par l'IA Image générée par IA

Meta has paused its Model Capability Initiative after sensitive employee data was exposed internally. The program tracks workers' keystrokes and mouse movements to train AI models. Company officials said they are investigating the incident.

OpenAI is facing an investigation by a coalition of state attorneys general after receiving a subpoena on June 12 seeking documents on its operations and user impact.

Rapporté par l'IA

OpenAI plans to release its upcoming ChatGPT 5.6 model first only to customers approved by the US federal government. The staggered rollout follows a recent executive order on voluntary AI model reviews.

In the wake of Anthropic's unveiling of its powerful Claude Mythos AI—capable of detecting and exploiting software vulnerabilities—the US Treasury Secretary has convened top bank executives to highlight escalating AI-driven cyber threats. The move underscores growing concerns as the AI is restricted to a tech coalition via Project Glasswing.

Rapporté par l'IA

Germany's financial regulator BaFin has warned banks about risks from Anthropic's Claude Mythos AI model, following US Treasury alerts. The model autonomously detects IT vulnerabilities at scale, potentially accelerating cyberattacks. US banks are testing it amid restrictions.

Ce site utilise des cookies

Nous utilisons des cookies pour l'analyse afin d'améliorer notre site. Lisez notre politique de confidentialité pour plus d'informations.
Refuser