Законите за верификация на възрастта изграждат глобална мрежа за наблюдение

Законите за верификация на възрастта изграждат глобална мрежа за наблюдение

Законите за верификация на възрастта се разпространяват в Съединените щати, Обединеното кралство и Бразилия с декларираната цел да защитават непълнолетните онлайн. Но подробно техническо разследване на TBOTE Project твърди, че инфраструктурата, изграждана с цел спазване на тези закони, функционира като нещо много по-широко: трансгранична биометрична система за наблюдение с неразкрити обработчици на данни, безшумно удостоверяване на телефони и модули за докладване пред правителството, вградени директно в кода.

Разследването, актуализирано през април 2026 г., се основава на DNS анализ, декомпилация на SDK, журнали за прозрачност на сертификати, записи от корпоративни регистри и документи от SEC EDGAR. Всички посочени източници са публични.

Връзката с Тийл: Един инвеститор, две страни на тръбопровода за данни

Едно от централните структурни открития на разследването засяга Питър Тийл. Тийл е съосновател на Palantir Technologies — компания, която продава аналитика за наблюдение на правителства и корпорации по целия свят. Неговото рисково капиталово дружество Founders Fund е и основният инвеститор в Persona — компания за верификация на самоличността, чийто SDK е вграден в платформи като Roblox и Robinhood.

TBOTE Project описва това като нексус от „събиране и анализ": един и същ финансов участник се облагодетелства както от събирането на биометрични данни за самоличност, така и от последващата аналитика, извършвана върху тези данни. Разследването не твърди, че има координация между Persona и Palantir на ниво продукт, но документира споделената структура на собственост като съществен факт, който не се разкрива на потребителите, взаимодействащи с верификационните процеси на Persona.

Изтеклият изходен код на Persona, прегледан в рамките на разследването, според съобщенията съдържа 269 верификационни проверки, 43 вида верификация и модули за правителствено докладване, изградени за FinCEN и FINTRAC — звената за финансово разузнаване съответно на Съединените щати и Канада.

Какво разкри техническият анализ

Частта от разследването, свързана с декомпилацията на SDK, доведе до няколко конкретни открития, които надхвърлят стандартните проблеми с поверителността.

В SDK на Persona беше открит хардкодиран AES ключ за криптиране. Ключът беше сменен във версия 1.15.3 след разкриването на проблема, което предполага, че той е бил потвърден и отстранен. В SDK също така липсваше закрепване на сертификати — стандартна мярка за сигурност, която предотвратява прихващането на данни при пренос чрез атаки „човек по средата".

По време на стандартна верификационна сесия бяха открити седем едновременно работещи аналитични услуги. Telesign — компания, мажоритарно собственост на Proximus, белгийският държавен телекомуникационен оператор — беше идентифицирана като извършваща безшумно мрежово удостоверяване без уведомяване на потребителя. Беше установено също, че верификацията на телефона на ниво оператор се извършва чрез Vonage без изрична информираност на потребителя.

Компонентът за разпознаване на лица в системата на Persona се задвижва от Paravision — компания, класирана на първо място в оценка на биометрична точност от Министерството на вътрешната сигурност. Според разследването Paravision не фигурира на публично оповестената страница на Persona с подизпълнители. TBOTE Project идентифицира 12 обработчика на данни, които описва като неразкрити.

Изброяването на поддомейни на withpersona.com разкри 197 поддомейна, включително 65 тестови среди, които изложиха вътрешни услуги за машинно обучение, графова база данни, идентифицирана като TigerGraph, и шлюз към AAMVA — Американската асоциация на администраторите на моторни превозни средства, която управлява данните от шофьорски книжки в щатите на САЩ.

Разследването документира и LinkedIn като едновременно използващ четири отделни доставчика на верификация на самоличността, наред с това, което описва като паралелен китайски стек за наблюдение в същия Android APK, включително интеграция на социалното оценяване Sesame Credit, удостоверяване чрез оператор ShanYan и правителствени идентификатори на устройства.

Беше установено, че Roblox — платформа с голям брой потребители-деца — вгражда пълния SDK на Persona, включително функционалността за четене на паспорти чрез NFC, в рамките на верификационен процес, от който потребителите според съобщенията не могат да излязат, без да го завършат.

Какво означава това за вас

Разследването на TBOTE Project не твърди, че верификацията на възрастта сама по себе си е нелегитимна. Аргументът му е по-конкретен: инфраструктурата, изграждана за прилагане на верификацията на възрастта, притежава технически възможности и структури на собственост, които надхвърлят далеч всякакъв единичен случай на ограничаване на достъпа по възраст.

За обикновените интернет потребители това означава, че спазването на покана за верификация на възрастта в игрова платформа, социална мрежа или сайт за съдържание за възрастни може да включва обработване на биометрични данни от множество неразкрити трети страни, удостоверяване на ниво оператор без видимо уведомяване и предаване на данни в системи с функции за правителствено докладване.

Законодателните мандати в повече от 25 щата на САЩ, Бразилия и Обединеното кралство създават това, което разследването нарича „задължителен пазар" за тези услуги. Докладът отбелязва, че Meta е похарчила 26,3 милиона долара за лобиране във връзка с това законодателство. Базата данни Serpro на Бразилия, която съдържа записи за приблизително 220 милиона бразилски граждани, е идентифицирана като част от инфраструктурната среда, в която функционират тези системи за верификация.

Сближаването на верификацията на самоличността с инфраструктурата на AI агентите е посочено като нововъзникващ проблем. Разследването предполага, че верификацията на самоличността се позиционира като предпоставка за участие в автоматизирани интернет транзакции като цяло — не само за съдържание с ограничен достъп.

Практически изводи

Читателите, които искат да разберат степента си на излагане на тази инфраструктура, могат да предприемат няколко практически стъпки.

Първо, прегледайте политиките за поверителност и разкриванията за подизпълнители на всяка платформа, която ви е поискала да завършите верификация на самоличността. Отбележете дали доставчиците на разпознаване на лица и услугите за удостоверяване чрез оператор са изброени.

Второ, имайте предвид, че „верификацията на възрастта" в дадена платформа не означава, че данните ви остават в тази платформа. Верификацията, базирана на SDK, насочва данните през системи за идентификация на трети страни, всяка от които има свои собствени практики за съхранение и споделяне на данни.

Трето, следете законодателните развития във вашата юрисдикция. Законите, изискващи верификация на възрастта, създават правни задължения за платформите, което от своя страна стимулира приемането на инфраструктурата, описана в това разследване. Разбирането на това, което вашият щат или държава налага, е от значение за разбирането на данните, които може да бъдете задължени да предоставите, за да използвате определени онлайн услуги.

Пълното разследване на TBOTE Project, включително методологията и изходните документи, е публично достъпно. Откритията представляват един от технически най-подробните публични анализи на индустрията за верификация на възрастта досега, а въпросите, които поставя относно разкриването, потоците от данни и структурните конфликти на интереси, вероятно ще продължат да бъдат изследвани от регулатори, журналисти и изследователи в областта на поверителността.