A Empresa Que "Verifica Idade" É Na Verdade Uma Máquina de Espionagem

Lembra quando disseram que verificação de idade era "só para proteger crianças"? A empresa Persona — uma das maiores fornecedoras de verificação de identidade do mundo, usada inclusive pela OpenAI — acaba de ser flagrada com um sistema de vigilância tão extenso que faria a NSA de Edward Snowden corar.

Pesquisadores de segurança descobriram que o front-end da Persona ficou completamente exposto na internet por um erro de configuração. O que encontraram lá dentro é assustador.

269 Verificações Secretas — Muito Além da "Idade"

Quando você envia seu documento para "provar que tem 18 anos", a Persona não faz apenas uma verificação de idade. Ela roda 269 verificações distintas sobre você, incluindo:

  • Reconhecimento facial cruzado com listas de observação e "pessoas politicamente expostas" — ou seja, se você é ativista, político, jornalista ou qualquer pessoa que incomode alguém, a Persona sabe.
  • Filtragem de "mídia adversa" em 14 categorias, incluindo terrorismo e espionagem — a empresa avalia se você aparece em notícias negativas e atribui um "score de risco" a você.
  • Pontuações de risco e similaridade — cada usuário recebe uma nota baseada em critérios que ninguém autorizou.
  • Análises de selfie com detecção de "entidades suspeitas", detecção de "repetição de poses" e verificações de "inconsistência de idade".

Os Dados Que a Persona Coleta (e Guarda Por 3 Anos)

A lista de dados coletados é um pesadelo de privacidade:

  • Endereços IP
  • Impressões digitais de navegadores e dispositivos
  • Números de identificação governamentais (CPF, RG, passaporte)
  • Números de telefone
  • Nomes completos
  • Imagens faciais e biometria

Tudo isso pode ser retido por até três anos. Três anos de dados biométricos, documentos e comportamento online armazenados em servidores que, como acabamos de descobrir, nem sequer estavam protegidos adequadamente.

A Conexão Com o Governo dos EUA

Aqui é onde a história fica realmente sinistra. Segundo a pesquisadora conhecida como "Celeste", o código exposto estava em um terminal autorizado pelo governo dos Estados Unidos, que parecia ter sido isolado do ambiente de trabalho normal da Persona.

Traduzindo: existe uma versão especial do sistema da Persona que opera para o governo americano, com acesso a todos esses dados de vigilância. E esse terminal ficou exposto na internet por um erro de configuração.

Não foi um ataque hacker sofisticado. Não foi uma invasão. Foi simplesmente um sistema de vigilância mal configurado que ficou aberto para qualquer pessoa ver. Como descreveu o site Tech Start XYZ: "uma história que começou com um IP exposto e acabou revelando uma máquina de vigilância tão complexa quanto uma rede de espionagem."

O Que Isso Tem a Ver Com Você — E Com o ECA Digital

A Persona não é uma empresa obscura. Ela fornece serviços de verificação de identidade para grandes plataformas tecnológicas, incluindo a OpenAI. Quando a lei brasileira — como o ECA Digital — exige "verificação de idade confiável", adivinhe quem são as empresas que oferecem esse serviço? Empresas como a Persona.

É exatamente isso que os críticos do ECA Digital vinham alertando: obrigar todo mundo a provar sua idade online significa entregar dados sensíveis a empresas que operam sistemas de vigilância conectados a governos estrangeiros, armazenam seus dados biométricos por anos, e nem sequer conseguem manter seus próprios servidores seguros.

O Histórico Que o Brasil Deveria Lembrar

Esta não é a primeira vez que dados de brasileiros acabam nas mãos do governo americano. Em 2013, Edward Snowden revelou que a NSA monitorava milhões de e-mails e telefonemas de brasileiros, incluindo comunicações da presidenta Dilma Rousseff e da Petrobras. O Brasil era o país mais espionado da América Latina.

O jornalista Glenn Greenwald revelou ao Congresso brasileiro que uma empresa de telecomunicações americana acessava comunicações de 16 países através de acordos operacionais com empresas locais. Mais de uma década depois, o modelo mudou — mas a dinâmica é a mesma: seus dados saem do Brasil e chegam a Washington.

O Que Você Deveria Estar Se Perguntando

Da próxima vez que um site pedir para você "verificar sua idade" enviando um documento ou uma selfie, pergunte-se:

  • Quem está realmente por trás desse sistema de verificação?
  • Quantas "verificações" além da idade estão sendo feitas com seus dados?
  • Para onde esses dados vão — e quem tem acesso a eles?
  • Por quanto tempo serão armazenados?
  • O que acontece quando (não se) houver um vazamento?

A Persona acabou de nos dar a resposta para todas essas perguntas. E nenhuma delas é tranquilizadora.