Jaká je hlavní obava projektu TBOTE ohledně zákonů o ověřování věku?

Projekt TBOTE tvrdí, že infrastruktura vybudovaná za účelem dodržování zákonů o ověřování věku funguje jako přeshraniční biometrický systém dohledu, nikoli pouze jako nástroj na ochranu nezletilých. Dokumentuje nezveřejněné zpracovatele dat, tiché ověřování telefonu a vládní reportovací moduly zabudované do kódu.

Jaká je spojitost mezi Peterem Thielem a sběrem dat popsaným v šetření?

Peter Thiel spoluzaložil Palantir, který prodává analytické nástroje pro dohled vládám, zatímco jeho venture kapitálová firma Founders Fund je hlavním investorem společnosti Persona, firmy pro ověřování totožnosti, která zachycuje biometrická data. Šetření toto označuje jako nexus „sběru a analýzy", kde tentýž finanční stakeholder těží z obou stran datového řetězce.

Jaká bezpečnostní zranitelnost byla nalezena v SDK společnosti Persona?

Vyšetřovatelé objevili pevně zakódovaný šifrovací klíč AES v SDK společnosti Persona, který byl po zveřejnění tohoto zjištění ve verzi 1.15.3 vyměněn. SDK také postrádalo certificate pinning, standardní bezpečnostní opatření bránící zachycení dat při přenosu prostřednictvím útoku man-in-the-middle.

Byli uživatelé informováni o ověřování telefonu probíhajícím během ověřovacích relací Persony?

Ne, šetření zjistilo, že Telesign prováděl tiché síťové ověřování bez upozornění uživatele a ověřování telefonu na úrovni operátora probíhalo prostřednictvím Vonage bez výslovného vědomí uživatele.

Jaké funkce vládního reportování byly nalezeny v uniklém zdrojovém kódu Persony?

Uniklý zdrojový kód Persony údajně obsahuje vládní reportovací moduly vytvořené specificky pro FinCEN a FINTRAC, finanční zpravodajské jednotky Spojených států a Kanady.

Zákony o ověřování věku budují globální síť dohledu

Zákony o ověřování věku se šíří po celých Spojených státech, Velké Británii a Brazílii s deklarovaným cílem chránit nezletilé online. Podrobné technické šetření projektu TBOTE však tvrdí, že infrastruktura sestavovaná za účelem dodržování těchto zákonů funguje jako něco mnohem rozsáhlejšího: přeshraniční biometrický systém dohledu s nezveřejněnými zpracovateli dat, tichým ověřováním telefonů a vládními reportovacími moduly přímo zabudovanými do kódu.

Šetření, aktualizované v dubnu 2026, vychází z analýzy DNS, dekompilace SDK, protokolů transparentnosti certifikátů, záznamů z obchodních rejstříků a podání v systému SEC EDGAR. Všechny citované zdroje jsou veřejně dostupné.

Thielnexus: jeden investor, dvě strany datového řetězce

Jedním z ústředních strukturálních zjištění šetření se týká Petera Thiela. Thiel spoluzaložil společnost Palantir Technologies, která prodává analytické nástroje pro dohled vládám a korporacím po celém světě. Jeho venture kapitálový nástroj, Founders Fund, je zároveň hlavním investorem společnosti Persona, firmy zabývající se ověřováním totožnosti, jejíž SDK je zabudováno do platforem od Robloxu po Robinhood.

Projekt TBOTE toto označuje jako nexus „sběru a analýzy": tentýž finanční stakeholder těží jak ze zachycování biometrických identitních dat, tak z následné analytiky prováděné na těchto datech. Šetření nepodezírá Personu a Palantir ze spolupráce na úrovni produktů, avšak dokumentuje sdílenou vlastnickou strukturu jako podstatný fakt, který není sdělen uživatelům, kteří přicházejí do styku s ověřovacími procesy společnosti Persona.

Uniklý zdrojový kód Persony, přezkoumaný v rámci šetření, údajně obsahuje 269 ověřovacích kontrol, 43 typů ověření a vládní reportovací moduly vytvořené pro FinCEN a FINTRAC, finanční zpravodajské jednotky Spojených států a Kanady.

Co odhalila technická analýza

Část šetření věnovaná dekompilaci SDK přinesla několik konkrétních zjištění přesahujících standardní obavy o soukromí.

V SDK společnosti Persona byl objeven pevně zakódovaný šifrovací klíč AES. Klíč byl po zveřejnění tohoto zjištění ve verzi 1.15.3 vyměněn, což naznačuje, že problém byl potvrzen a vyřešen. SDK také postrádalo certificate pinning, standardní bezpečnostní opatření bránící zachycení dat při přenosu prostřednictvím útoku man-in-the-middle.

Během standardní ověřovací relace bylo zjištěno, že souběžně běží sedm analytických služeb. Bylo zjištěno, že Telesign, společnost majoritně vlastněná Proximus, belgickým státním telekomunikačním operátorem, provádí tiché síťové ověřování bez upozornění uživatele. Rovněž bylo zjištěno, že ověřování telefonu na úrovni operátora probíhá prostřednictvím Vonage bez výslovného vědomí uživatele.

Komponenta rozpoznávání obličeje v systému Persona je poháněna společností Paravision, která se umístila na prvním místě v hodnocení přesnosti biometriky prováděném Ministerstvem vnitřní bezpečnosti. Podle šetření se Paravision neobjevuje na veřejně zveřejněné stránce subdodavatelů Persony. Projekt TBOTE identifikoval 12 zpracovatelů dat, které označuje za nezveřejněné.

Výčet subdomén domény withpersona.com odhalil 197 subdomén, včetně 65 testovacích prostředí, která odhalila interní služby strojového učení, grafovou databázi identifikovanou jako TigerGraph a bránu do AAMVA, Americké asociace správců motorových vozidel, která spravuje data z řidičských průkazů napříč státy USA.

Šetření také dokumentuje, že LinkedIn provozuje čtyři samostatné dodavatele ověřování totožnosti souběžně, spolu s tím, co popisuje jako paralelní čínský stack dohledu ve stejném Android APK, včetně integrace sociálního skórování Sesame Credit, ověřování operátora ShanYan a vládních identifikátorů zařízení.

Bylo zjištěno, že Roblox, platforma s velkým počtem mladých uživatelů, zahrnuje kompletní SDK Persony včetně funkce čtení cestovního pasu přes NFC, a to v rámci ověřovacího procesu, který uživatelé údajně nemohou opustit bez jeho dokončení.

Co to znamená pro vás

Šetření projektu TBOTE netvrdí, že ověřování věku samo o sobě je nelegitimní. Jeho argument je konkrétnější: infrastruktura budovaná k implementaci ověřování věku má technické schopnosti a vlastnické struktury, které dalece přesahují jakýkoli jednotlivý případ použití pro omezení přístupu podle věku.

Pro běžné uživatele internetu to znamená, že vyhovění výzvě k ověření věku na herní platformě, sociální síti nebo webu s obsahem pro dospělé může zahrnovat biometrická data zpracovávaná více nezveřejněnými třetími stranami, ověřování telefonu na úrovni operátora probíhající bez viditelného upozornění a data proudící do systémů s funkcemi vládního reportování.

Legislativní mandáty ve více než 25 státech USA, Brazílii a Velké Británii vytvářejí to, co šetření nazývá „povinným trhem" pro tyto služby. Zpráva uvádí, že Meta vynaložila 26,3 milionu dolarů na lobbing v souvislosti s touto legislativou. Brazilská databáze Serpro, která obsahuje záznamy přibližně 220 milionů brazilských občanů, je identifikována jako součást infrastrukturního prostředí, v němž tyto ověřovací systémy fungují.

Jako nově vznikající obava je označena konvergence ověřování totožnosti s infrastrukturou AI agentů. Šetření naznačuje, že ověřování totožnosti je obecně ustavováno jako předpoklad pro účast v automatizovaných internetových transakcích, nejen v obsahu s věkovým omezením.

Praktická doporučení

Čtenáři, kteří chtějí pochopit svou expozici vůči této infrastruktuře, mohou podniknout několik praktických kroků.

Za prvé, prostudujte zásady ochrany osobních údajů a informace o subdodavatelích jakékoli platformy, která vás požádala o ověření totožnosti. Zjistěte, zda jsou na seznamu uvedeni dodavatelé rozpoznávání obličeje a služby ověřování prostřednictvím operátora.

Za druhé, mějte na paměti, že „ověření věku" na platformě neznamená, že vaše data zůstanou u této platformy. Ověřování prostřednictvím SDK směruje data přes systémy třetích stran pro ověřování totožnosti, z nichž každý má vlastní postupy uchovávání a sdílení dat.

Za třetí, sledujte legislativní vývoj ve své jurisdikci. Zákony vyžadující ověřování věku vytvářejí pro platformy právní povinnosti, které zase pohánějí přijetí infrastruktury popsané v tomto šetření. Porozumění tomu, co váš stát nebo země nařizuje, je relevantní pro pochopení toho, jaká data budete možná muset poskytnout, abyste mohli používat určité online služby.

Kompletní šetření projektu TBOTE, včetně jeho metodologie a zdrojových dokumentů, je veřejně dostupné. Zjištění představují jednu z technicky nejpodrobnějších veřejných analýz odvětví ověřování věku dosud, a otázky, které klade ohledně zveřejňování informací, datových toků a strukturálních střetů zájmů, budou pravděpodobně dále zkoumat regulátoři, novináři a výzkumníci v oblasti ochrany soukromí.