Hvad er den primære bekymring, som TBOTE Project rejser om aldersverifikationslove?

TBOTE Project argumenterer for, at den infrastruktur, der opbygges for at efterleve aldersverifikationslove, fungerer som et grænseoverskridende biometrisk overvågningssystem og ikke blot som et værktøj til beskyttelse af mindreårige. Det dokumenterer ikke-oplyste databehandlere, lydløs telefonbekræftelse og regeringsrapporteringsmoduler indlejret i koden.

Hvad er forbindelsen mellem Peter Thiel og den dataindsamling, der beskrives i undersøgelsen?

Peter Thiel var med til at grundlægge Palantir, som sælger overvågningsanalyse til regeringer, mens hans venturekapitalfirma Founders Fund er den primære investor i Persona, et identitetsbekræftelsesselskab, der indfanger biometriske data. Undersøgelsen beskriver dette som et "indsamlings- og analyse"-nexus, hvor den samme finansielle interessent drager fordel af begge sider af datapipelinen.

Hvilke sikkerhedssårbarheder blev fundet i Persona-SDK'en?

Efterforskerne opdagede en hardkodet AES-krypteringsnøgle i Persona-SDK'en, som blev udskiftet, efter funtet blev offentliggjort i version 1.15.3. SDK'en manglede også certifikatpinning, en standard sikkerhedsforanstaltning, der forhindrer mand-i-midten-aflytning af data under transmission.

Blev brugerne underrettet om den telefonbekræftelse, der fandt sted under Persona-bekræftelsessessioner?

Nej, undersøgelsen viste, at Telesign udførte lydløs netværksbekræftelse uden brugernotifikation, og at bekræftelse på operatørniveau via Vonage kørte uden eksplicit brugerbevidsthed.

Hvilke regeringsrapporteringsfunktioner blev fundet i Personas lækkede kildekode?

Personas lækkede kildekode indeholder angiveligt regeringsrapporteringsmoduler bygget specifikt til FinCEN og FINTRAC, henholdsvis de finansielle efterretningsenheder i USA og Canada.

Aldersverifikationslove er ved at opbygge et globalt overvågningsnetværk

Aldersverifikationslove breder sig i USA, Storbritannien og Brasilien med det erklærede mål at beskytte mindreårige online. Men en detaljeret teknisk undersøgelse fra TBOTE Project argumenterer for, at den infrastruktur, der opbygges for at efterleve disse love, fungerer som noget langt bredere: et grænseoverskridende biometrisk overvågningssystem med ikke-oplyste databehandlere, lydløs telefonbekræftelse og regeringsrapporteringsmoduler, der er integreret direkte i koden.

Undersøgelsen, som blev opdateret i april 2026, bygger på DNS-analyse, SDK-dekompilering, certifikattransparenslogfiler, virksomhedsregistreringsdokumenter og SEC EDGAR-indberetninger. Alle angivne kilder er offentligt tilgængelige.

Thiel-forbindelsen: Én investor, to sider af datapipelinen

Et af undersøgelsens centrale strukturelle fund vedrører Peter Thiel. Thiel var med til at grundlægge Palantir Technologies, et selskab der sælger overvågningsanalyse til regeringer og virksomheder verden over. Hans venturekapitalvehicle, Founders Fund, er også den primære investor i Persona, et identitetsbekræftelsesselskab, hvis SDK er indlejret i platforme fra Roblox til Robinhood.

TBOTE Project beskriver dette som et "indsamlings- og analyse"-nexus: den samme finansielle interessent drager fordel af både indfangningen af biometriske identitetsdata og den efterfølgende analyse af disse data. Undersøgelsen påstår ikke koordination mellem Persona og Palantir på produktniveau, men den dokumenterer den fælles ejerstruktur som et faktum af væsentlig betydning, der ikke oplyses til brugere, som interagerer med Personas bekræftelsesflows.

Personas lækkede kildekode, der er gennemgået som en del af undersøgelsen, indeholder angiveligt 269 bekræftelseskontroller, 43 bekræftelsestyper og regeringsrapporteringsmoduler bygget til FinCEN og FINTRAC, henholdsvis de finansielle efterretningsenheder i USA og Canada.

Hvad den tekniske analyse afdækkede

SDK-dekompileringsdelen af undersøgelsen producerede flere specifikke fund, der rækker ud over standard bekymringer om privatlivets fred.

En hardkodet AES-krypteringsnøgle blev opdaget i Persona-SDK'en. Nøglen blev udskiftet i version 1.15.3, efter funtet blev offentliggjort, hvilket tyder på, at problemet blev bekræftet og håndteret. SDK'en manglede også certifikatpinning, en standard sikkerhedsforanstaltning, der forhindrer mand-i-midten-aflytning af data under transmission.

Syv samtidige analytiktjenester blev fundet kørende under en standard bekræftelsessession. Telesign, et selskab der er majoritetsejet af Proximus, den belgiske statsejede teleoperatør, blev identificeret som udførende lydløs netværksbekræftelse uden brugernotifikation. Bekræftelse på operatørniveau via telefon blev også fundet at køre via Vonage uden eksplicit brugerbevidsthed.

Den ansigtsgenkendelseskomponent i Personas system er drevet af Paravision, et selskab der rangerer som nummer ét ved en biometrisk nøjagtighedsevaluering foretaget af Department of Homeland Security. Paravision fremgår ifølge undersøgelsen ikke på Personas offentligt oplyste liste over underbehandlere. TBOTE Project identificerede 12 databehandlere, som det beskriver som ikke-oplyste.

Subdomæne-enumeration af withpersona.com afslørede 197 subdomæner, herunder 65 testmiljøer, der eksponerede interne maskinlæringstjenester, en grafdatabase identificeret som TigerGraph, og en gateway til AAMVA, American Association of Motor Vehicle Administrators, som administrerer kørekortsdata på tværs af amerikanske delstater.

Undersøgelsen dokumenterer også, at LinkedIn kørte fire separate identitetsbekræftelsesleverandører samtidigt, ved siden af det, der beskrives som en parallel kinesisk overvågningsstak i den samme Android APK, herunder Sesame Credit-integration til social scoring, ShanYan-operatørbekræftelse og statslige enhedsidentifikatorer.

Roblox, en platform med en stor befolkning af børnebrugere, blev fundet at indlejre den fulde Persona-SDK inklusive NFC-pasaflæsningsfunktionalitet, inden for et bekræftelsesflow, som brugere angiveligt ikke kan forlade uden at gennemføre det.

Hvad dette betyder for dig

TBOTE Projects undersøgelse argumenterer ikke for, at aldersverifikation i sig selv er illegitim. Dens argument er mere specifikt: den infrastruktur, der opbygges til at implementere aldersverifikation, har tekniske kapaciteter og ejerstrukturer, der rækker langt ud over en enkelt aldersbegrænsningsanvendelse.

For almindelige internetbrugere betyder dette, at man ved at efterkomme en aldersverifikationsprompt på en spilplatform, et socialt netværk eller et voksenindholdssite kan risikere, at biometriske data behandles af flere ikke-oplyste tredjeparter, at bekræftelse på operatørniveau sker uden synlig notifikation, og at data flyder ind i systemer med regeringsrapporteringsfunktioner.

Lovgivningsmæssige krav i mere end 25 amerikanske delstater, Brasilien og Storbritannien skaber det, som undersøgelsen kalder et "obligatorisk marked" for disse tjenester. Rapporten bemærker, at Meta brugte 26,3 millioner dollars på lobbyvirksomhed i forbindelse med denne lovgivning. Brasiliens Serpro-database, som indeholder oplysninger om ca. 220 millioner brasilianske borgere, identificeres som en del af den infrastrukturmæssige sammenhæng, hvori disse bekræftelsessystemer opererer.

Sammenfalddet af identitetsbekræftelse med AI-agentinfrastruktur fremhæves som en fremvoksende bekymring. Undersøgelsen antyder, at identitetsbekræftelse er ved at blive positioneret som en forudsætning for deltagelse i automatiserede internettransaktioner mere bredt, ikke kun aldersafgrænset indhold.

Handlingsrettede råd

Læsere, der ønsker at forstå deres eksponering over for denne infrastruktur, kan tage flere praktiske skridt.

For det første bør du gennemgå privatlivspolitikker og underbehandleroplysnigner for enhver platform, der har bedt dig om at gennemføre identitetsbekræftelse. Bemærk, om leverandører af ansigtsgenkendelse og operatørbekræftelsestjenester er angivet.

For det andet skal du være opmærksom på, at "aldersverifikation" på en platform ikke betyder, at dine data forbliver hos den pågældende platform. SDK-baseret bekræftelse sender data gennem tredjeparts identitetssystemer, som hver har deres egne praksisser for dataopbevaring og -deling.

For det tredje bør du følge lovgivningsmæssige udviklinger i din jurisdiktion. Love, der kræver aldersverifikation, skaber juridiske forpligtelser for platforme, hvilket til gengæld driver adoption af den infrastruktur, der beskrives i denne undersøgelse. At forstå, hvad din delstat eller dit land pålægger, er relevant for at forstå, hvilke data du muligvis skal indsende for at bruge visse onlinetjenester.

TBOTE Projects fulde undersøgelse, herunder dens metode og kildedokumenter, er offentligt tilgængelig. Fundene repræsenterer en af de mere teknisk detaljerede offentlige analyser af aldersverifikationsindustrien til dato, og de spørgsmål, den rejser om oplysningspligt, dataflows og strukturelle interessekonflikter, er sådanne, som regulatorer, journalister og privatlivsforskere sandsynligvis vil fortsætte med at undersøge.