Linkedin & Persona: In drei Minuten in den Datenschutz-Wahnsinn
Inhalt
Dieser Artikel ist eine Übersetzung. Das Original ist im Blog The Local Stack(öffnet im neuen Fenster) erschienen.
Ich wollte das blaue Häkchen auf Linkedin, das besagt: "Diese Person ist echt" . Inmitten von Massen falscher Personalvermittler, Bot-Konten und KI-generierter Profilbilder schien mir das eine gute Idee zu sein.
Also tippte ich auf " Verifizieren ". Ich scannte meinen Reisepass ein und machte ein Selfie. Drei Minuten später – fertig, Badge erhalten. Ich spürte einen winzigen Dopamin-Kick: Jetzt war ich legitimiert.
Dann tat ich, was wahrscheinlich sonst kaum jemand tut: Ich las mir die Datenschutzerklärung und die Nutzungsbedingungen durch. Nicht die von Linkedin. Die von der anderen Firma.
Moment mal, welche andere Firma?
Wer auf Linkedin auf " Verifizieren " klickt, gibt seinen Pass nicht an Linkedin, sondern wird zu einem Unternehmen namens Persona weitergeleitet. Vollständiger Name: Persona Identities, Inc., mit Sitz in San Francisco, Kalifornien.
Linkedin ist dessen Kunde. Ich bin das Gesicht, das gescannt wird.
Ich hatte wie die meisten Menschen nie zuvor von Persona gehört. Das ist gewollt, das Unternehmen sitzt unsichtbar zwischen uns und den Plattformen, denen wir vertrauen.
Also habe ich mir die Datenschutzerklärung (18 Seiten) und die Nutzungsbedingungen (16 Seiten) von Persona heruntergeladen – und erzähle im Folgenden, was ich herausgefunden habe.
Was ich an Persona übermittelt habe
Für eine dreiminütige Identitätsprüfung wurde Folgendes erfasst:
- mein vollständiger Name: Vorname, zweiter Vorname, Nachname
- mein Passfoto: das gesamte Dokument, beide Seiten, alle Daten auf der Vorderseite
- mein Selfie: ein in Echtzeit aufgenommenes Foto meines Gesichts
- eine Gesichtsgeometrie: biometrische Daten, die aus beiden Bildern extrahiert wurden und dazu dienen, das Selfie mit dem Pass abzugleichen
- eine NFC-Chip-Daten: die digitalen Informationen, die auf dem Chip in meinem Reisepass gespeichert sind
- meine nationale Identifikationsnummer
- meine Staatsangehörigkeit, mein Geschlecht, mein Geburtsdatum, mein Alter
- meine E-Mail-Adresse, Telefonnummer und Postanschrift
- meine IP-Adresse, Gerätetyp, MAC-Adresse, Browser, Betriebssystemversion und Sprache
- meine Geolokalisierung, abgeleitet aus meiner IP-Adresse
Dazu kommen noch ein paar bemerkenswerte Punkte:
- Verzögerungserkennung: Persona hat verfolgt, ob ich während des Vorgangs pausiert habe
- Copy-Paste-Erkennung: Persona hat verfolgt, ob ich Informationen hineinkopiert statt eingetippt habe
- Verhaltensbiometrie, zusätzlich zur physischen Biometrie
Das alles habe ich für die Verifizierung bei Linkedin preisgegeben.
Persona fragt seine Freunde über mich aus
Persona hat sich aber nicht nur auf die Daten verlassen, die ich dem Unternehmen gegeben habe, sondern mich mit dessen "globalen Netzwerk vertrauenswürdiger Datenquellen von Drittanbietern" abgeglichen:
- behördliche Datenbanken
- nationale Melderegister
- Kreditauskunfteien
- Versorgungsunternehmen
- Mobilfunkanbieter
- Postadressdatenbanken
Kurz gesagt: Ich habe meinen Reisepass gescannt, um ein Häkchen zu erhalten, und Persona hat einen Hintergrundcheck durchgeführt.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.