Es posible que los usuarios de redes sociales que estén pensando en verificar sus identificaciones en LinkedIn quieran esperar un poco.
Persona, el socio externo de verificación de identidad de LinkedIn, ha sido criticado esta semana por supuestamente compartir información personal de los usuarios con sus propios socios de datos, así como por acceder a datos ampliados sobre los usuarios que buscan verificar su información a través de la plataforma.
Según un informe reciente sobre El blog de pila localun investigador de seguridad revisó recientemente los términos de servicio y las notas de proceso de Persona y descubrió que la plataforma recopila una amplia gama de información basada en los documentos de confirmación de identificación cargados.
Según el periodista, que utilizó una foto de pasaporte para confirmar la identificación en Persona con el fin de obtener la verificación de LinkedIn, el sistema de Persona luego verificó múltiples puntos de datos para recopilar una variedad de conocimientos. Esa información incluía el nombre completo del reportero, geometría facial, datos del chip NFC (extraídos del documento de identidad del pasaporte), número de documento nacional de identidad, correo electrónico, número de teléfono, dirección IP, geolocalización y más.
Luego, Persona, según el informe, comparó esos datos con bases de datos gubernamentales, agencias de crédito al consumo, empresas de servicios públicos, bases de datos de direcciones postales y fuentes adicionales.
Lo cual es una verificación de antecedentes bastante completa para confirmar la identificación, aunque el uso ampliado de estos datos fue el punto más importante a destacar.
Según el periodista, esa información luego se puso a disposición de un conjunto de 17 “subprocesadores” de esta información, que esencialmente comparten información personal con una variedad de proveedores externos ampliados, quienes en teoría podrían hacer lo que quieran con ella.
El CEO de Persona, Rick Song, ha refutado las afirmaciones. a través de una publicación en LinkedInen el que explicó que la empresa no procesa los datos de los usuarios para ningún otro fin que no sea el de confirmar la identidad.
Song señaló específicamente que no se utilizan datos personales para el entrenamiento de IA, y que cualquier dato biométrico se elimina inmediatamente después del procesamiento, y todos los demás datos personales se eliminan dentro de los 30 días.
Song también dijo que la lista de subprocesadores que figura en la documentación de Persona es engañosa, ya que los clientes pueden seleccionar qué productos se utilizan en la confirmación de identificación, lo que dicta el acceso del subprocesador.
Como tal, Song dijo que Persona no comparte datos de usuario con terceros no aprobados.
Pero es posible que el daño ya esté hecho. De acuerdo a La rabiaDiscord ahora ha finalizado su prueba de Persona como socio de verificación de identidad en respuesta a la preocupación. Otros socios de Persona ahora buscan respuestas más detalladas sobre cómo la empresa comparte los datos de los usuarios con socios ampliados.
Si Persona no puede proporcionar respuestas adecuadas, podría ser un duro golpe para su negocio. y con 100 millones de usuarios de LinkedIn verificando la información de su perfil en la aplicación hasta el momento (nota: LinkedIn trabaja con varios socios de verificación, por lo que no todos estos usuarios fueron procesados a través de Persona), ese es un vector importante para la exposición de datos.
