Une enquête de sécurité accuse Persona, la société gérant les vérifications « connaissez votre client » pour OpenAI, d'envoyer des données utilisateurs incluant des adresses crypto à des agences fédérales comme FinCEN. Des chercheurs ont découvert du code permettant la surveillance et le signalement d'activités suspectes. Persona nie tout lien actuel avec des agences fédérales.
Le 18 février, les chercheurs en sécurité vmfunc, MDL et Dziurwa ont publié une enquête révélant du code accessible publiquement dans le système de Persona qui semble transmettre des données collectées lors du processus KYC d'OpenAI au Réseau d'application des crimes financiers (FinCEN), un bureau du Trésor américain. Ces données incluent des photos de passeport, des selfies et des vidéos soumis par les utilisateurs pour vérifier leur identité afin d'accéder aux fonctionnalités avancées de ChatGPT. Le code, en place depuis novembre 2023, s'intègre également avec Chainalysis pour examiner les adresses crypto associées à des risques, analyser les interactions et permettre une surveillance persistante via un système de liste de surveillance. Les chercheurs ont mis en lumière les capacités de la plateforme, déclarant : « La même entreprise qui prend votre photo de passeport lors de l'inscription à ChatGPT exploite aussi une plateforme gouvernementale qui dépose des rapports d'activité suspecte auprès de FinCEN et les étiquette avec des noms de code de programmes de renseignement. » Ils ont ajouté : « Donc vous avez téléchargé un selfie pour utiliser un chatbot ? Félicitations ! Il est maintenant comparé à une base de données de tous les politiciens, chefs d'État et leur arbre généalogique étendu sur Terre. » Plusieurs experts en sécurité, dont Tanuki42 de groupes de réponse aux incidents blockchain, ont confirmé la crédibilité des découvertes, notant que les domaines gouvernementaux cités existent et sont probablement hébergés par Persona. Des questions subsistent cependant sur les motivations, l'utilisation et les critères exacts pour déclencher des criblages ou des rapports. Le PDG de Persona, Rick Song, a répondu sur X, exprimant sa déception et affirmant que les chercheurs ne l'avaient pas contacté au préalable. Dans des e-mails partagés par Song, il a déclaré que son entreprise ne travaille avec aucune agence fédérale aujourd'hui, sans aborder directement les implications du code. Un post de Song indiquait : « Je suis vraiment déçu de la manière dont tout cela a été géré », et il a loué le talent de vmfunc. OpenAI et Persona n'ont pas répondu aux demandes de commentaire de DL News. Ces révélations soulèvent des inquiétudes au milieu d'une méfiance croissante envers les exigences KYC, qui criblent les sanctions, liens terroristes et crimes financiers mais exposent aussi les utilisateurs à des abus potentiels de données ou des violations. Les durées de conservation sont floues, avec des divergences entre la limite d'un an annoncée par OpenAI et le code indiquant jusqu'à trois ans ou un stockage permanent pour les pièces d'identité gouvernementales.
