Koja je glavna zabrinutost koju projekt TBOTE iznosi o zakonima o provjeri dobi?

Projekt TBOTE tvrdi da infrastruktura izgrađena radi usklađivanja sa zakonima o provjeri dobi funkcionira kao prekogranični biometrijski sustav nadzora, a ne samo kao alat za zaštitu maloljetnika. Dokumentira neotkrivene procesore podataka, tihu autentifikaciju putem telefona i module za izvještavanje vladi ugrađene u kod.

Kakva je veza između Petera Thiela i prikupljanja podataka opisanog u istrazi?

Peter Thiel suosnivač je Palantira, koji prodaje analitiku nadzora vladama, dok je njegovo poduzetničko kapitalsko društvo Founders Fund primarni ulagač u Personu, tvrtku za provjeru identiteta koja prikuplja biometrijske podatke. Istraga opisuje ovo kao čvor „prikupljanja i analize" u kojem isti financijski dioničar ima koristi od obiju strana cjevovoda podataka.

Koje su sigurnosne ranjivosti pronađene u Personinom SDK-u?

Istraživači su u Personinom SDK-u otkrili tvrdo kodiran AES enkripcijski ključ, koji je rotiran nakon što je nalaz objavljen u verziji 1.15.3. SDK-u je također nedostajalo fiksiranje certifikata, standardna sigurnosna mjera koja sprječava presretanje podataka u prijenosu napadom čovjeka u sredini.

Jesu li korisnici bili obaviješteni o autentifikaciji putem telefona koja se odvijala tijekom Personine sesije provjere?

Ne, istraga je utvrdila da je Telesign provodio tihu mrežnu autentifikaciju bez obavještavanja korisnika, a provjera telefona na razini operatera odvijala se putem Vonagea bez izričite svjesnosti korisnika.

Koje su mogućnosti izvještavanja vlade pronađene u procurlom izvornom kodu Persone?

Procurjeli izvorni kod Persone navodno sadrži module za izvještavanje vladi izgrađene posebno za FinCEN i FINTRAC, jedinice financijske obavještajne djelatnosti Sjedinjenih Američkih Država odnosno Kanade.

Zakoni o provjeri dobi grade globalnu mrežu nadzora

Zakoni o provjeri dobi šire se diljem Sjedinjenih Američkih Država, Ujedinjenog Kraljevstva i Brazila s navedenim ciljem zaštite maloljetnika na internetu. No detaljna tehnička istraga projekta TBOTE tvrdi da infrastruktura koja se gradi radi usklađivanja s tim zakonima funkcionira kao nešto mnogo šire: prekogranični biometrijski sustav nadzora s neotkrivenim procesorima podataka, tihom autentifikacijom putem telefona i modulima za izvještavanje vladi ugrađenim izravno u kod.

Istraga, ažurirana u travnju 2026., temelji se na DNS analizi, dekompilaciji SDK-a, zapisima transparentnosti certifikata, podacima iz korporativnih registara i podnescima iz SEC EDGAR baze. Svi navedeni izvori su javno dostupni.

Thielov čvor: jedan ulagač, dvije strane cjevovoda podataka

Jedno od središnjih strukturnih nalaza istrage tiče se Petera Thiela. Thiel je suosnivač tvrtke Palantir Technologies, koja prodaje analitiku nadzora vladama i korporacijama diljem svijeta. Njegovo poduzetničko kapitalsko vozilo, Founders Fund, ujedno je i primarni ulagač u Personu, tvrtku za provjeru identiteta čiji je SDK ugrađen u platforme od Robloxa do Robinhooda.

Projekt TBOTE opisuje ovo kao čvor „prikupljanja i analize": isti financijski dioničar ima koristi i od zahvaćanja biometrijskih podataka o identitetu i od naknadne analitike koja se provodi nad tim podacima. Istraga ne tvrdi da postoji koordinacija između Persone i Palantira na razini proizvoda, ali dokumentira zajedničku vlasničku strukturu kao materijalno relevantnu činjenicu koja se ne otkriva korisnicima koji prolaze kroz Personine tokove provjere.

Procurjeli izvorni kod Persone, pregledan kao dio istrage, navodno sadrži 269 provjera verifikacije, 43 vrste verifikacije i module za izvještavanje vladi izgrađene za FinCEN i FINTRAC, jedinice financijske obavještajne djelatnosti Sjedinjenih Američkih Država odnosno Kanade.

Što je otkrila tehnička analiza

Dio istrage koji se odnosi na dekompilaciju SDK-a dao je nekoliko konkretnih nalaza koji nadilaze standardne zabrinutosti vezane uz privatnost.

U SDK-u Persone otkriven je tvrdo kodiran AES enkripcijski ključ. Ključ je rotiran u verziji 1.15.3 nakon što je nalaz objavljen, što sugerira da je problem potvrđen i otklonjen. SDK-u je također nedostajalo fiksiranje certifikata, standardna sigurnosna mjera koja sprječava presretanje podataka u prijenosu napadom čovjeka u sredini.

Tijekom standardne sesije provjere pronađeno je sedam analitičkih servisa koji su radili istovremeno. Identificirano je da Telesign, tvrtka u većinskom vlasništvu Proximusa, belgijskog državnog telekomunikacijskog operatora, provodi tihu mrežnu autentifikaciju bez obavještavanja korisnika. Utvrđeno je i da provjera telefona na razini operatera radi putem Vonagea bez izričite svjesnosti korisnika.

Komponentu prepoznavanja lica u Personinom sustavu pokreće Paravision, tvrtka koja je zauzela prvo mjesto na evaluaciji biometrijske točnosti Ministarstva domovinske sigurnosti. Prema istrazi, Paravision se ne pojavljuje na javno objavljenoj stranici Personine potpodrađivatelja. Projekt TBOTE identificirao je 12 procesora podataka koje opisuje kao neotkrivene.

Nabrajanje poddomena withpersona.com otkrilo je 197 poddomena, uključujući 65 testnih okruženja koja su izlagala interne usluge strojnog učenja, grafičku bazu podataka identificiranu kao TigerGraph i pristupnik prema AAMVA-i, Američkom udruženju administratora motornih vozila, koje upravlja podacima vozačkih dozvola diljem američkih saveznih država.

Istraga također dokumentira da LinkedIn istovremeno koristi četiri zasebna dobavljača provjere identiteta, uz ono što opisuje kao paralelni kineski nadzorni stog u istom Android APK-u, uključujući integraciju društvenog bodovanja Sesame Credit, ShanYan autentifikaciju na razini operatera i vladine identifikatore uređaja.

Utvrđeno je da Roblox, platforma s velikom populacijom mlađih korisnika, ugrađuje puni Personin SDK, uključujući funkcionalnost čitanja putovnica putem NFC-a, unutar toka provjere iz kojeg korisnici navodno ne mogu izaći bez završetka postupka.

Što to znači za vas

Istraga projekta TBOTE ne tvrdi da je provjera dobi sama po sebi nelegitimna. Njezin argument je precizniji: infrastruktura koja se gradi za provedbu provjere dobi ima tehničke mogućnosti i vlasničke strukture koje daleko nadilaze bilo koji pojedinačni slučaj korištenja za dobno ograđivanje.

Za obične korisnike interneta to znači da ispunjavanje zahtjeva za provjeru dobi na gaming platformi, društvenoj mreži ili stranici s odraslim sadržajem može uključivati obradu biometrijskih podataka od strane više neotkrivenih trećih strana, autentifikaciju na razini operatera bez vidljive obavijesti i protok podataka u sustave s funkcijama izvještavanja vlade.

Zakonodavni mandati u više od 25 američkih saveznih država, Brazilu i Ujedinjenom Kraljevstvu stvaraju ono što istraga naziva „obveznim tržištem" za ove usluge. Izvješće napominje da je Meta potrošila 26,3 milijuna dolara na lobiranje u vezi s ovim zakonodavstvom. Brazilska baza podataka Serpro, koja sadrži evidencije o otprilike 220 milijuna brazilskih građana, identificirana je kao dio infrastrukturnog okruženja u kojem ovi sustavi provjere djeluju.

Kao nova zabrinutost istaknuto je spajanje provjere identiteta s infrastrukturom AI agenata. Istraga sugerira da se provjera identiteta pozicionira kao preduvjet za sudjelovanje u automatiziranim internetskim transakcijama općenito, a ne samo u sadržaju ograničenom prema dobi.

Praktični zaključci

Čitatelji koji žele razumjeti svoju izloženost ovoj infrastrukturi mogu poduzeti nekoliko praktičnih koraka.

Prvo, pregledajte politike privatnosti i objave o potpodrađivateljima svake platforme koja vas je zamolila da dovršite provjeru identiteta. Provjerite jesu li navedeni dobavljači prepoznavanja lica i usluge autentifikacije putem operatera.

Drugo, imajte na umu da „provjera dobi" na nekoj platformi ne znači da vaši podaci ostaju na toj platformi. Provjera temeljena na SDK-u usmjerava podatke kroz identitetske sustave trećih strana, od kojih svaki ima vlastitu praksu zadržavanja i dijeljenja podataka.

Treće, pratite zakonodavna kretanja u svojoj nadležnosti. Zakoni koji zahtijevaju provjeru dobi stvaraju zakonske obveze za platforme, što zauzvrat potiče usvajanje infrastrukture opisane u ovoj istrazi. Razumijevanje toga što vaša savezna država ili zemlja propisuje relevantno je za razumijevanje koje podatke ćete možda morati dostaviti kako biste koristili određene mrežne usluge.

Potpuna istraga projekta TBOTE, uključujući metodologiju i izvorne dokumente, javno je dostupna. Nalazi predstavljaju jednu od tehnički detaljnijih javnih analiza industrije provjere dobi do danas, a pitanja koja pokreće o otkrivanju informacija, tokovima podataka i strukturnim sukobima interesa ona su koja će regulatori, novinari i istraživači privatnosti vjerojatno nastaviti ispitivati.