Решението на Discord да въведе по-строги механизми за контрол на възрастта предизвика сериозен дебат в средите на киберсигурността. От март платформата ще активира „teen-by-default“ настройки, изискващи от възрастните потребители да докажат възрастта си, за да получат достъп до чувствително или предназначено само за пълнолетни съдържание.

Според компанията, която има над 200 милиона активни потребители месечно, проверката ще се извършва чрез:

• оценка на възраст чрез лицево разпознаване

• проверка на документ за самоличност

Но експерти по offensive security предупреждават, че подобни системи създават нови рискове.

„Централизиран honeypot за идентичности“

Ник Адамс, CEO на 0rcus, е категоричен:

„Всяка платформа, която въвежда задължителна възрастова верификация, изгражда централизирана примамка за идентичности. Въпросът не е дали ще бъде атакувана, а кога.“

Коментарът му идва след инцидент от есента на 2025 г., когато трета страна – доставчикът на услуги за верификация 5CA – бе компрометирана. В резултат изтекоха около 70 000 снимки на документи за самоличност.

Това изведе на преден план класическия supply-chain риск: дори ако самата платформа е защитена, уязвимият подизпълнител може да се превърне в най-слабата брънка.

Как работят системите за верификация

Обичайно се използват три основни подхода:

1. Документ + селфи – най-висока сигурност, но най-ниска поверителност

2. ИИ-базирана оценка на възраст – висока удобност, без съхранение на документ

3. Проверка чрез база данни или карта – умерен баланс между сигурност и удобство

Discord заявява, че ще разчита предимно на поведенчески модели и машинно обучение, използвайки „сигнали, свързани с акаунта“, като само при ниска степен на увереност ще изисква допълнителна проверка.

Компанията твърди, че:

• лицевите сканирания не напускат устройството

• документите се изтриват след определяне на възрастта

• тя получава само възрастовата категория, а не идентичността

Но именно тук възниква новият проблем.

Поведенческата инференция – скритият профилиращ механизъм

Според Адамс твърдението, че „вече разполагаме с достатъчно информация“, означава, че платформата извършва дългосрочно поведенческо профилиране.

„Същият модел, който знае, че сте възрастен, знае и всичко останало за вас.“

Така възрастовата верификация не създава ново наблюдение, а по-скоро официализира вече съществуващо такова.

Заобикалянията – от елементарни до организирани

Red team специалисти подчертават, че повечето системи са създадени с мисъл за регулаторно съответствие, а не за устойчивост срещу мотивиран противник.

Някои от широко използваните техники за заобикаляне включват:

• използване на снимка или видео пред камерата (presentation attack)

• показване на реалистичен игрови персонаж, например чрез Garry’s Mod

• използване на VPN за достъп от региони без строг контрол

• заемане на документ от по-голям брат/сестра

• покупка на предварително верифицирани акаунти през Telegram

• услуги тип „verification-as-a-service“ в юрисдикции с по-слаби регулации

Изследвания в Австралия показват, че 80% от децата под 13 години вече заобикалят възрастовите ограничения в социалните мрежи.

Това поставя под въпрос ефективността на чисто технологичните бариери.

Биометрията – вероятност, не сигурност

Според експерти от Cisco биометричната оценка на възрастта е по същество вероятностен модел:

• възрастни с младежка визия могат да бъдат блокирани

• непълнолетни с по-зрял външен вид могат да бъдат пропуснати

„Компрометирана парола може да бъде сменена. Компрометиран лицев отпечатък – не.“

Рискът при изтичане на биометрични данни е необратим.

Разширяваща се повърхност за атака

С увеличаването на мащаба се увеличава и потенциалният удар.

Свързването на:

• правна идентичност

• поведенчески данни

• биометрични характеристики

създава концентриран високорисков набор от данни.

Подобни пробиви могат да доведат до:

• кражба на самоличност

• дългосрочна измама

• регулаторни санкции

• срив на доверието

Как може да бъде укрепена системата

Експертите препоръчват:

• тестване срещу всички известни bypass техники

• строг rate limiting, за да не може един документ да валидира множество акаунти

• защита срещу API манипулации

• случайни и динамични liveness проверки

• минимизиране на събираните данни

• on-device обработка вместо централизирано съхранение

Някои призовават за глобален стандарт за дигитална възрастова верификация, при който системата отговаря единствено на въпроса „над определена възраст ли е потребителят“, без да разкрива излишни лични данни.

Discord не е първата платформа, която въвежда възрастова верификация, но мащабът на внедряването – стотици милиони потребители – издига темата на ново ниво.

Основният извод е ясен:

• възрастовата верификация повишава бариерата, но не елиминира злоупотребата

• всяка централизация на идентичност увеличава атакуваемата повърхност

• биометричните данни носят необратим риск

• поведенческото профилиране поражда сериозни въпроси за поверителността

В крайна сметка дилемата не е дали да има възрастова защита, а как тя да бъде изградена така, че да не създава по-голям риск от проблема, който се опитва да реши.