Drei Hacktivisten wollten lediglich testen, ob sich die neue Altersverifizierungssoftware von Discord umgehen lässt. Was sie stattdessen fanden, wirft ein grelles Licht auf das wahre Ausmaß dessen, was unter dem Deckmantel „Jugendschutz“ aufgebaut wird.
Die Benutzeroberfläche der eingesetzten Software war ungeschützt im Internet zugänglich. Kein Hochsicherheitsbereich, keine undurchdringliche Firewall – sondern ein offen erreichbares System, das Einblicke in interne Strukturen erlaubte. Dabei stießen die Forscher auf Verknüpfungen zwischen Finanzberichten und Gesichtserkennungstechnologie.
Was offiziell als harmlose Altersprüfung verkauft wird, entpuppt sich als Teil einer komplexen biometrischen Infrastruktur. Statt eines simplen Altersnachweises geht es um die Analyse von Gesichtsmerkmalen – also um Daten, die eindeutig einer Person zugeordnet werden können und sich nicht wie ein Passwort ändern lassen.
Zum ersten Mal zeigt sich, was hinter der Fassade der Altersverifikation steckt: ein technisches System, das Identitätsprüfung, biometrische Auswertung und regulatorische Kontrolle miteinander verbindet. Wer sein Alter nachweisen soll, muss potenziell sein Gesicht scannen lassen – und damit eine dauerhafte digitale Spur hinterlassen.
Besonders brisant ist zudem ein weiterer Fund der Hacktivisten:
Die offen zugängliche Benutzeroberfläche zeigte Hinweise auf Verbindungen zwischen der Altersverifizierungssoftware und Finanzberichten. Damit geht es offenbar nicht nur um die biometrische Einschätzung eines Alters per Gesichtserkennung, sondern um eine technische Infrastruktur, die Identitätsdaten mit wirtschaftlichen Strukturen verknüpfen kann. Eine solche Kopplung wirft erhebliche Fragen auf: Wer verarbeitet diese Daten? Wozu werden sie aggregiert? Und welche Rolle spielen finanzielle Akteure im Hintergrund solcher Systeme?
In 2.456 öffentlich zugänglichen Dateien deckte der Code die umfassende Überwachung auf, die die Persona-Software an ihren Nutzern durchführt. Diese ist in einer Schnittstelle gebündelt, die Gesichtserkennung mit Finanzberichterstattung kombiniert, sowie in einer parallelen Implementierung, die offenbar für Bundesbehörden konzipiert ist. Am Montag erklärte Discord, dass Persona nicht für die Identitätsprüfung eingesetzt werde. Persona Identity, Inc. ist ein von Peter Thiel unterstütztes Unternehmen
Die Hacktivisten berichten, dass sie nicht auf eine isolierte Anwendung stießen, sondern auf eine Struktur, die weit mehr kann als nur „über 18 – ja oder nein“ zu bestätigen. Altersverifizierung erscheint hier nicht als Schutzmaßnahme, sondern als Baustein einer größeren Überwachungsarchitektur.
Persona bietet nicht nur einfache Dienste zur Schätzung Ihres Alters, sondern vergleicht mithilfe seines offengelegten Codes Ihr Selfie mit Fotos auf einer Beobachtungsliste und nutzt dabei Gesichtserkennung. Zudem überprüft Persona Sie anhand von 14 Kategorien negativer Medienberichte – von Erwähnungen von Terrorismus bis hin zu Spionage – und kennzeichnet Berichte mit Codenamen aus aktiven Geheimdienstprogrammen, die aus öffentlich-privaten Partnerschaften bestehen. So geht Persona gegen Online-Material zur Ausbeutung von Kindern, Cannabishandel, Fentanylhandel, Liebesbetrug, Geldwäsche und illegalen Handel mit Wildtieren vor.
Nachdem ein Benutzer seine Identität mit Persona überprüft hat, führt die Software 269 verschiedene Überprüfungen durch. Sie durchsucht das Internet und Regierungsquellen nach möglichen Übereinstimmungen. Beispielsweise gleicht sie Ihr Gesicht mit politisch exponierten Personen (PEPs) ab und generiert für jede Person Risiko- und Ähnlichkeitswerte. Analysiert und bis zu drei Jahre lang gespeichert werden IP-Adressen, Browser-Fingerabdrücke, Geräte-Fingerabdrücke, staatliche ID-Nummern, Telefonnummern, Namen, Gesichter und sogar Selfie-Hintergründe.
Brisant ist vor allem eines: Wenn ein System, das mit sensibelsten biometrischen Daten arbeitet, bereits in seiner Benutzeroberfläche frei zugänglich ist, stellt sich die Frage, wie sicher die dahinterliegenden Daten wirklich sind.
Die Forscher sehen ihre Entdeckung als Weckruf. Nicht nur für Nutzer, sondern auch für jene, die solche Technologien politisch vorantreiben. Denn was als Schutz von Minderjährigen beginnt, kann schnell zur Normalisierung biometrischer Identitätskontrollen für alle werden.
Die Enthüllung zeigt: Altersverifizierung ist nicht nur ein technisches Detail in einem Gesetzestext. Sie ist ein Testlauf dafür, wie weit digitale Identitätskontrolle in Zukunft reichen darf – und wer darüber entscheidet.
