أزمة خصوصية تلاحق LinkedIn.. تقارير تكشف جمع بيانات حساسة لمستخدمي المنصة

حرير- قد يرغب مستخدمو منصة LinkedIn الذين يفكرون في توثيق هوياتهم بالتطبيق في التريث قليلًا، بعد موجة من الجدل أثارتها تقارير حديثة حول شريك التحقق من الهوية التابع للمنصة.

فقد تعرضت شركة Persona، وهي أحد شركاء LinkedIn الخارجيين في توثيق الهويات، لانتقادات هذا الأسبوع بعد تقارير تحدثت عن قيامها بمشاركة معلومات المستخدمين الشخصية مع شركاء بيانات تابعين لها، إضافة إلى توسيع نطاق الوصول إلى بيانات الأشخاص الذين يسعون لتأكيد هويتهم عبر المنصة.

تقرير أمني يكشف تفاصيل جمع البيانات

ووفقًا لتقرير حديث نُشر على مدونة The Local Stack، قام باحث أمني بمراجعة شروط الخدمة والملاحظات الإجرائية الخاصة بشركة Persona، ليكتشف أن المنصة تجمع نطاقًا واسعًا من المعلومات استنادًا إلى مستندات الهوية التي يرفعها المستخدمون لغرض التحقق.

وأشار التقرير إلى أن الصحفي الذي أجرى التجربة استخدم صورة جواز سفره لتأكيد هويته عبر Persona بهدف الحصول على شارة التوثيق في LinkedIn، وبعد رفع المستند، قام نظام Persona بمطابقة عدة نقاط بيانات واستخلاص مجموعة واسعة من المعلومات.

وشملت هذه البيانات: الاسم الكامل، القياسات الهندسية للوجه (Facial Geometry)، بيانات شريحة NFC المستخرجة من جواز السفر، رقم الهوية الوطنية، البريد الإلكتروني، رقم الهاتف، عنوان IP، الموقع الجغرافي، وغيرها من المعلومات الحساسة.

تدقيق شامل يتجاوز التوقعات

بحسب التقرير، لم يتوقف الأمر عند جمع هذه البيانات فقط، بل قامت Persona بمطابقتها مع قواعد بيانات حكومية، ووكالات تقارير ائتمانية، وشركات مرافق عامة، وقواعد بيانات العناوين البريدية، إضافة إلى مصادر أخرى.

ويُعد هذا النوع من التدقيق الخلفي الشامل خطوة متقدمة للتحقق من الهوية، إلا أن النقطة التي أثارت القلق الأكبر لم تكن في عملية التحقق ذاتها، بل في كيفية استخدام هذه البيانات لاحقًا وإمكانية مشاركتها مع أطراف أخرى.

مشاركة البيانات مع 17 جهة فرعية

التقرير أشار كذلك إلى أن المعلومات التي تم جمعها أصبحت متاحة لما يصل إلى 17 جهة معالجة فرعية (Subprocessors)، وهي أطراف ثالثة متعاقدة يُمكنها الوصول إلى البيانات ضمن منظومة العمل الخاصة بالشركة.

ووفقًا لما ورد، فإن مشاركة هذه البيانات مع هذا العدد من الشركاء تفتح الباب نظريًا أمام احتمالات استخدام غير واضح أو غير مُعلن للمعلومات الشخصية، ما أثار تساؤلات واسعة حول مستوى حماية الخصوصية.

رد رسمي من الرئيس التنفيذي لشركة Persona

في المقابل، نفى الرئيس التنفيذي لشركة Persona، Rick Song، هذه الادعاءات عبر منشور على LinkedIn، موضحًا أن الشركة لا تعالج بيانات المستخدمين لأي غرض آخر غير تأكيد الهوية.

وأكد سونج بشكل قاطع أن الشركة لا تستخدم أي بيانات شخصية في تدريب أنظمة الذكاء الاصطناعي، كما أشار إلى أن البيانات البيومترية يتم حذفها فور انتهاء عملية المعالجة، بينما تُحذف بقية البيانات الشخصية خلال مدة لا تتجاوز 30 يومًا.

كما أوضح أن قائمة الجهات الفرعية المذكورة في وثائق Persona قد تكون مضللة، نظرًا لأن العملاء يستطيعون اختيار المنتجات أو الخدمات المستخدمة في عملية التحقق، وهو ما يحدد الجهات الفرعية التي يمكنها الوصول إلى البيانات، وشدد على أن Persona لا تشارك بيانات المستخدمين مع أي أطراف غير معتمدة.

تداعيات الأزمة على شركاء Persona

ورغم النفي الرسمي، يبدو أن الأزمة بدأت تترك أثرها بالفعل. ووفقًا لتقرير نشره موقع The Rage، قررت منصة Discord إنهاء تجربتها مع Persona كشريك للتحقق من الهوية، استجابةً للمخاوف المثارة.

كما أفادت التقارير بأن شركاء آخرين لـ Persona يطالبون الشركة بتوضيحات أكثر تفصيلًا بشأن آليات مشاركة البيانات مع الشركاء الموسعين.

وفي حال عجزت Persona عن تقديم إجابات مُقنعة، فقد يمثل ذلك ضربة قوية لأعمالها، خاصة في ظل اتساع قاعدة مستخدمي LinkedIn الذين قاموا بتوثيق حساباتهم.

100 مليون مستخدم تحت المجهر

تشير البيانات إلى أن نحو 100 مليون مستخدم على LinkedIn قاموا بالفعل بتوثيق معلومات حساباتهم داخل التطبيق. وتجدر الإشارة إلى أن LinkedIn يعمل مع عدة شركاء في مجال التحقق من الهوية، ما يعني أن ليس جميع هؤلاء المستخدمين خضعوا لمعالجة بياناتهم عبر Persona.

ومع ذلك، فإن حجم المستخدمين الكبير يجعل من القضية مسألة ذات أبعاد واسعة، خصوصًا إذا ثبت وجود ثغرات في إدارة البيانات أو مشاركة المعلومات الحساسة.

وتبقى الأسئلة مطروحة حول مدى شفافية شركات التحقق من الهوية في إدارة البيانات الشخصية، وحدود استخدام تلك المعلومات، في وقت تتزايد فيه أهمية الخصوصية الرقمية عالميًا.