Mikä on TBOTE-projektin esittämä päähuoli ikäverifiointilaeista?

TBOTE-projekti väittää, että ikäverifiointilakien noudattamiseksi rakennettu infrastruktuuri toimii rajat ylittävänä biometrisenä valvontajärjestelmänä – ei pelkästään alaikäisten suojeluvälineenä. Se dokumentoi paljastamattomia tietojenkäsittelijöitä, hiljaisen puhelintunnistuksen sekä koodiin upotettuja viranomaisraportointimoduuleja.

Mikä on yhteys Peter Thielin ja tutkimuksessa kuvatun tiedonkeruun välillä?

Peter Thiel on Palantirin perustajajäsen, joka myy valvonta-analytiikkaa hallituksille, kun taas hänen pääomasijoitusyhtiönsä Founders Fund on Personan – biometrisiä tietoja keräävän henkilöllisyyden varmentamisyrityksen – pääsijoittaja. Tutkimus kuvaa tätä "keräys- ja analyysikytkökseksi", jossa sama taloudellinen osapuoli hyötyy datapuolien molemmilta puolilta.

Mitä tietoturva-aukkoja Persona SDK:sta löydettiin?

Tutkijat löysivät Persona SDK:sta kovakoodatun AES-salausavaimen, joka vaihdettiin versiossa 1.15.3 löydöksen julkistamisen jälkeen. SDK:sta puuttui myös varmenteen kiinnitys, joka on vakioturvatoimenpide ja estää siirrettävän datan sieppaamisen välimieshyökkäyksillä.

Ilmoitettiinko käyttäjille Persona-varmentamisistuntojen aikana tapahtuvasta puhelintunnistuksesta?

Ei. Tutkimus osoitti, että Telesign suoritti hiljaista verkkoautentikointia ilman käyttäjäilmoitusta, ja operaattoritason puhelinvarmistus toimi Vonagen kautta ilman, että käyttäjä oli siitä selkeästi tietoinen.

Mitä viranomaisraportointiominaisuuksia löydettiin Personan vuotaneesta lähdekoodista?

Personan vuotanut lähdekoodi sisältää raporttien mukaan viranomaisraportointimoduuleja, jotka on rakennettu erityisesti FinCENille ja FINTRACille – Yhdysvaltojen ja Kanadan rahoitustiedustelu-yksiköille.

Ikäverifiointilait rakentavat globaalia valvontaverkkoa

Ikäverifiointilait leviävät Yhdysvalloissa, Yhdistyneessä kuningaskunnassa ja Brasiliassa tavoitteenaan suojella alaikäisiä verkossa. TBOTE-projektin yksityiskohtainen tekninen tutkimus kuitenkin väittää, että näiden lakien noudattamiseksi koottu infrastruktuuri toimii huomattavasti laajempana kokonaisuutena: rajat ylittävänä biometrisenä valvontajärjestelmänä, jossa on paljastamattomia tietojenkäsittelijöitä, hiljainen puhelintunnistus ja suoraan koodiin upotettuja viranomaisraportointimoduuleja.

Tutkimus, jota päivitettiin huhtikuussa 2026, perustuu DNS-analyysiin, SDK-dekompilointiin, varmenteen läpinäkyvyyslokeihin, yritysrekisteriasiakirjoihin ja SEC EDGAR -tiedostoihin. Kaikki viitatut lähteet ovat julkisia.

Thiel-kytkös: yksi sijoittaja, kaksi puolta dataputkessa

Yksi tutkimuksen keskeisistä rakenteellisista löydöksistä koskee Peter Thieliä. Thiel on Palantir Technologiesin perustajajäsen – yritys, joka myy valvonta-analytiikkaa hallituksille ja yrityksille maailmanlaajuisesti. Hänen pääomasijoitusyhtiönsä Founders Fund on myös Personan pääsijoittaja. Persona on henkilöllisyyden varmentamiseen erikoistunut yritys, jonka SDK on upotettu alustoille kuten Roblox ja Robinhood.

TBOTE-projekti kuvaa tätä "keräys- ja analyysikytkökseksi": sama taloudellinen osapuoli hyötyy sekä biometristen henkilötietojen keräämisestä että näiden tietojen myöhemmästä analyysistä. Tutkimus ei väitä, että Personan ja Palantirin välillä olisi tuotetason yhteistyötä, mutta se dokumentoi yhteisen omistusrakenteen olennaisena tosiseikkana, jota ei paljasteta käyttäjille, jotka asioivat Personan varmentamisprosessien kanssa.

Tutkimuksen yhteydessä tarkasteltu Personan vuotanut lähdekoodi sisältää raporttien mukaan 269 varmentamistarkistusta, 43 varmentamistyyppiä sekä FinCENille ja FINTRACille – Yhdysvaltojen ja Kanadan rahoitustiedustelu-yksiköille – rakennetut viranomaisraportointimoduulit.

Mitä tekninen analyysi paljasti

SDK:n dekompilointiosuus tuotti useita yksittäisiä löydöksiä, jotka ylittävät tavanomaiset tietosuojahuolet.

Persona SDK:sta löydettiin kovakoodattu AES-salausavain. Avain vaihdettiin versiossa 1.15.3 sen jälkeen, kun löydös julkistettiin, mikä viittaa siihen, että ongelma vahvistettiin ja korjattiin. SDK:sta puuttui myös varmenteen kiinnitys, joka on vakioturvatoimenpide ja estää siirrettävän datan sieppaamisen välimieshyökkäyksillä.

Tavallisen varmentamisistunnon aikana havaittiin seitsemän samanaikaista analytiikkapalvelua. Telesignin – yhtiön, jonka enemmistöomistaja on Belgian valtiollinen teleoperaattori Proximus – todettiin suorittavan hiljaista verkkoautentikointia ilman käyttäjäilmoitusta. Myös operaattoritason puhelinvarmennus havaittiin toimivan Vonagen kautta ilman, että käyttäjä oli siitä selkeästi tietoinen.

Personan järjestelmän kasvojentunnistuskomponentin taustalla on Paravision, yritys, joka sijoittui ensimmäiseksi Department of Homeland Securityn biometrisessa tarkkuusarvioinnissa. Paravision ei tutkimuksen mukaan esiinny Personan julkisesti ilmoitetulla alihankkijasivulla. TBOTE-projekti tunnisti 12 tietojenkäsittelijää, joita se kuvaa paljastamattomiksi.

Withpersona.com-sivuston aliverkkotunnusten luettelointi paljasti 197 aliverkkotunnusta, joista 65 oli testiympäristöjä, jotka altistivat sisäisiä koneoppimispalveluita, TigerGraphiksi tunnistetun graafitietokannan sekä yhdyskäytävän AAMVA:lle – American Association of Motor Vehicle Administratorsille – joka hallinnoi ajokorttitietoja eri osavaltioissa.

Tutkimus dokumentoi myös sen, että LinkedIn käyttää samanaikaisesti neljää erillistä henkilöllisyyden varmentamistoimittajaa sekä samassa Android-APK:ssa toimivan rinnakkaisen kiinalaiseen valvontaan liittyvän kokonaisuuden, johon kuuluu Sesame Credit -sosiaalisen pisteytysjärjestelmän integraatio, ShanYan operaattoritunnistus ja viranomaislaitetunnisteet.

Robloxin – alustan, jolla on paljon lapsikäyttäjiä – havaittiin upottavan täydellinen Persona SDK, mukaanlukien NFC-passintoiminnallisuus, varmentamisprosessiin, josta käyttäjät eivät raporttien mukaan pysty poistumaan ilman sen suorittamista.

Mitä tämä tarkoittaa sinulle

TBOTE-projektin tutkimus ei väitä, että ikäverifointi itsessään on laitonta. Sen argumentti on tarkempi: ikäverifiointia toteuttamaan rakennetulla infrastruktuurilla on teknisiä ominaisuuksia ja omistusrakenteita, jotka ulottuvat kauas yksittäisen ikärajan tarkistamisen käyttötarkoituksen ulkopuolelle.

Tavallisille internetin käyttäjille tämä tarkoittaa, että ikävarennuspyyntöön vastaaminen pelialustalla, sosiaalisessa verkostossa tai aikuisille suunnatussa palvelussa saattaa sisältää biometristen tietojen käsittelyn useiden paljastamattomien kolmansien osapuolten toimesta, operaattoritason tunnistautumisen ilman näkyvää ilmoitusta sekä tietojen siirtymisen järjestelmiin, joissa on viranomaisraportointitoimintoja.

Yli 25 Yhdysvaltain osavaltion, Brasilian ja Yhdistyneen kuningaskunnan lainsäädäntövelvoitteet luovat tutkimuksen mukaan näille palveluille "pakollisen markkinan". Raportissa todetaan, että Meta käytti 26,3 miljoonaa dollaria lobbaukseen tähän lainsäädäntöön liittyen. Brasilian Serpro-tietokanta, joka sisältää tiedot noin 220 miljoonasta brasilialaisesta kansalaisesta, on tunnistettu osaksi infrastruktuuriympäristöä, jossa nämä varmentamisjärjestelmät toimivat.

Henkilöllisyyden varmentamisen ja tekoälyagentti-infrastruktuurin lähentyminen nostetaan esiin nousevana huolenaiheena. Tutkimus viittaa siihen, että henkilöllisyyden varmennus on asemoitumassa edellytykseksi osallistua automatisoituihin internetin transaktioihin laajemmin – ei vain ikärajoitettuun sisältöön.

Käytännön toimenpiteet

Lukijat, jotka haluavat ymmärtää altistumistaan tälle infrastruktuurille, voivat ryhtyä useisiin käytännön toimiin.

Ensiksi, tarkastele jokaisen alustan tietosuojakäytäntöjä ja alihankkijatietoja, jolla sinua on pyydetty suorittamaan henkilöllisyyden varmistaminen. Huomioi, onko kasvojentunnistustoimittajat ja operaattoritason tunnistuspalvelut mainittu.

Toiseksi, ole tietoinen siitä, että "ikäverifointi" alustalla ei tarkoita, että tietosi pysyvät kyseisellä alustalla. SDK-pohjainen varmistus reitittää tiedot kolmansien osapuolten henkilöllisyysjärjestelmien kautta, joista jokaisella on omat tietojen säilytys- ja jakamiskäytäntönsä.

Kolmanneksi, seuraa lainsäädännön kehitystä omalla lainkäyttöalueellasi. Ikäverifiointia edellyttävät lait luovat alustoille oikeudellisia velvoitteita, jotka puolestaan edistävät tässä tutkimuksessa kuvatun infrastruktuurin käyttöönottoa. On tärkeää ymmärtää, mitä osavaltiosi tai maasi vaatii, jotta tiedät, mitä tietoja sinulta saatetaan edellyttää tiettyjen verkkopalveluiden käyttämiseksi.

TBOTE-projektin täydellinen tutkimus metodologioineen ja lähdeasiakirjoineen on julkisesti saatavilla. Löydökset edustavat yhtä tähänastisista teknisesti yksityiskohtaisimmista julkisista analyyseistä ikäverifiointiteollisuudesta, ja tutkimuksen herättämät kysymykset tietojen paljastamisesta, tietovirroista ja rakenteellisista eturistiriidoista ovat sellaisia, joita viranomaiset, toimittajat ja tietosuojatutkijat todennäköisesti jatkavat tarkastelemaan.