بدأت موجة من المخاوف تتصاعد حول مدى حماية البيانات في عملية التوثيق التي يعتمدها LinkedIn عبر شريك التحقق Persona.
تفاصيل جمع البيانات وفحص الهوية
وفق تقرير منشور على مدونة The Local Stack، راجع باحث أمني شروط الخدمة والملاحظات الإجرائية لشركة Persona، ليكتشف أن المنصة تجمع نطاقًا واسعًا من المعلومات اعتمادًا على مستندات الهوية التي يرفعها المستخدمون لغرض التحقق.
وأشار التقرير إلى أن الباحث الذي أجرى التجربة استخدم صورة جواز سفره للتحقق عبر Persona بهدف الحصول على شارة التوثيق في LinkedIn، وبعد رفع المستند، بدأ النظام بمطابقة نقاط بيانات واستخلاص مجموعة واسعة من المعلومات. وشملت هذه البيانات الاسم الكامل، القياسات الهندسية للوجه، بيانات شريحة NFC المستخرجة من الجواز، رقم الهوية الوطنية، البريد الإلكتروني، رقم الهاتف، عنوان IP، الموقع الجغرافي، وغيرها من المعلومات الحساسة.
التدقيق والربط بمصادر بيانات
بحسب التقرير، لم يتوقف الأمر عند جمع هذه البيانات فقط، بل قامت Persona بمطابقتها مع قواعد بيانات حكومية، ووكالات تقارير ائتمانية، وشركات مرافق عامة، وقواعد بيانات العناوين البريدية، إضافة إلى مصادر أخرى.
ويعد هذا النوع من التدقيق الخلفي الشامل خطوة متقدمة للتحقق من الهوية، إلا أن النقطة التي أثارت القلق الأكبر لم تكن في عملية التحقق ذاتها، بل في كيفية استخدام هذه البيانات لاحقًا وإمكانية مشاركتها مع أطراف أخرى.
مشاركة البيانات مع شركاء فرعيين
قال التقرير أيضًا إن المعلومات التي جُمعَت أصبحت متاحة لما يصل إلى 17 جهة معالجة فرعية (Subprocessors)، وهي أطراف ثالثة متعاقدة يمكنها الوصول إلى البيانات ضمن منظومة العمل الخاصة بالشركة.
وفقًا للمصدر، فإن مشاركة هذه البيانات مع هذا العدد من الشركاء تفتح الباب نظريًا أمام احتمالات استخدام غير واضح أو غير مُعلن للمعلومات الشخصية، مما أثار تساؤلات حول مستوى حماية الخصوصية.
رد رسمي من Persona ورؤية الشركة للبيانات
نفى الرئيس التنفيذي لشركة Persona، ريك سونغ، هذه الادعاءات عبر منشور على LinkedIn، موضحًا أن الشركة لا تعالج بيانات المستخدمين لأي غرض آخر غير تأكيد الهوية.
وأكد سونغ أن الشركة لا تستخدم أي بيانات شخصية في تدريب أنظمة الذكاء الاصطناعي، وأن البيانات البيومترية يتم حذفها فور انتهاء المعالجة، بينما تُحذف البيانات الشخصية الأخرى خلال مدة لا تتجاوز 30 يومًا. كما أشار إلى أن قائمة الجهات الفرعية المذكورة في وثائق Persona قد تكون مضللة، لأن العملاء يستطيعون اختيار المنتجات أو الخدمات المستخدمة في عملية التحقق، وهو ما يحدد الجهات الفرعية التي يمكنها الوصول إلى البيانات، وشدد على أن Persona لا تشارك بيانات المستخدمين مع أي أطراف غير معتمدة.
تداعيات الأزمة على الشركاء
على الرغم من النفي الرسمي، يبدو أن الأزمة تركت أثرًا واضحًا، إذ قررت منصة Discord إنهاء تجربتها مع Persona كشريك للتحقق من الهوية، استجابةً للمخاوف المثارة، بحسب تقارير، كما ترددت أنباء عن مطالبة شركاء آخرين لـ Persona بتوضيحات أكثر تفصيلًا حول آليات مشاركة البيانات.
وفي حال فشلت Persona في تقديم إجابات مقنعة، قد يمثل ذلك ضربة قوية للشركة في ظل وجود نحو 100 مليون مستخدم على LinkedIn قد قاموا بتوثيق معلومات حساباتهم عبر التطبيق، مع الإشارة إلى أن عددًا من هؤلاء العملاء قد لا يخضع لعمليات معالجة البيانات عبر Persona تحديدًا، وإن كان حجم المستخدمين الكبير يضيف أبعاد واسعة للمسألة.
خلاصة الوضع العام
تُطرح أسئلة متزايدة حول مدى شفافية شركات التحقق من الهوية في إدارة البيانات الشخصية وحدود استخدامها، خاصة مع الاعتماد المتزايد على حلول خارجية في عمليات التوثيق الرقمية، وهو ما يجعل من الشفافية والمسؤولية جزءًا حيويًا في معادلة الخصوصية وحماية البيانات لدى منصات التوظيف والاجتماعات المهنية.
