A korhatár-ellenőrzési törvények egy globális megfigyelési hálózatot építenek ki

A korhatár-ellenőrzési törvények egy globális megfigyelési hálózatot építenek ki

A korhatár-ellenőrzési törvények terjednek az Egyesült Államokban, az Egyesült Királyságban és Brazíliában, azzal a deklarált céllal, hogy online védjék a kiskorúakat. A TBOTE Project részletes technikai vizsgálata azonban azt állítja, hogy a törvényeknek való megfelelés érdekében kiépített infrastruktúra ennél jóval szélesebb körű funkciókat lát el: egy határon átnyúló biometrikus megfigyelési rendszerként működik, amely feltáratlan adatfeldolgozókat, csendes telefonazonosítást és közvetlenül a kódba épített kormányzati jelentési modulokat tartalmaz.

A 2026 áprilisában frissített vizsgálat DNS-elemzésre, SDK-visszafejtésre, tanúsítvány-átláthatósági naplókra, cégjegyzéki bejegyzésekre és SEC EDGAR-bejelentésekre támaszkodik. Az összes hivatkozott forrás nyilvánosan elérhető.

A Thiel-nexus: Egy befektető, az adatfolyamat két oldala

A vizsgálat egyik központi strukturális megállapítása Peter Thielhez kapcsolódik. Thiel társalapítója a Palantir Technologies-nak, egy olyan vállalatnak, amely megfigyelési analitikai megoldásokat értékesít kormányoknak és vállalatoknak szerte a világon. Kockázatitőke-vállalata, a Founders Fund egyúttal a Persona elsődleges befektetője is – a Persona egy olyan személyazonosság-ellenőrző vállalat, amelynek SDK-ja olyan platformokba van beágyazva, mint a Roblox vagy a Robinhood.

A TBOTE Project ezt „gyűjtési és elemzési" nexusként írja le: ugyanaz a pénzügyi érdekeltség húz hasznot mind a biometrikus személyazonossági adatok megszerzéséből, mind az azokra épülő analitikából. A vizsgálat nem állít termékszointi koordinációt a Persona és a Palantir között, azonban dokumentálja a közös tulajdonosi struktúrát mint olyan lényeges tényt, amelyet nem tárnak fel azoknak a felhasználóknak, akik a Persona ellenőrzési folyamataival kerülnek kapcsolatba.

A vizsgálat részeként áttekintett, kiszivárgott Persona-forráskód állítólag 269 ellenőrzési feltételt, 43 ellenőrzési típust, valamint a FinCEN és a FINTRAC – az Egyesült Államok, illetve Kanada pénzügyi hírszerzési egységei – számára kifejlesztett kormányzati jelentési modulokat tartalmaz.

Mit tárt fel a technikai elemzés?

Az SDK-visszafejtés számos konkrét megállapítást hozott, amelyek túlmutatnak a szokványos adatvédelmi aggályokon.

A Persona SDK-ban beégetett AES titkosítási kulcsot fedeztek fel. A kulcsot a megállapítás nyilvánosságra hozatala után az 1.15.3-as verzióban cserélték le, ami arra utal, hogy a problémát megerősítették és kezelték. Az SDK-ból hiányzott a tanúsítvány-rögzítés (certificate pinning) is, egy olyan általános biztonsági intézkedés, amely megakadályozza az átvitt adatok közbeékelődéses (man-in-the-middle) lehallgatását.

Egy szabványos ellenőrzési munkamenet során hét párhuzamosan futó analitikai szolgáltatást találtak. A Proximus – a belga állami tulajdonú távközlési szolgáltató – többségi tulajdonában lévő Telesign társaságot azonosították úgy, mint amely felhasználói értesítés nélkül végez csendes hálózati azonosítást. A szolgáltató szintű telefonos azonosítást a Vonage-on keresztül is elvégzik, szintén a felhasználó kifejezett tudomása nélkül.

A Persona rendszerének arcfelismerési összetevőjét a Paravision működteti, amely az első helyezést érte el a Belbiztonsági Minisztérium biometrikus pontossági értékelésén. A vizsgálat szerint a Paravision nem szerepel a Persona nyilvánosan közzétett aladatfeldolgozói listáján. A TBOTE Project 12 olyan adatfeldolgozót azonosított, amelyeket feltáratlannak minősít.

A withpersona.com aldoménjének feltérképezése 197 aldomént tárt fel, köztük 65 tesztkörnyezetet, amelyek belső gépi tanulási szolgáltatásokat, egy TigerGraph-ként azonosított gráfadatbázist, valamint az AAMVA – az American Association of Motor Vehicle Administrators (Gépjárművezető-igazgatási Szervek Amerikai Szövetsége) – átjáróját tárták fel; ez utóbbi az Egyesült Államok tagállamain átívelő jogosítványadatokat kezeli.

A vizsgálat a LinkedIn esetében is dokumentálja, hogy az platform négy különálló személyazonosság-ellenőrző megoldást futtat egyidejűleg, emellett leírja, hogy ugyanabban az androidos APK-ban egy párhuzamos kínai megfigyelési csomag is megtalálható, beleértve a Sesame Credit társadalmi pontozási integrációját, a ShanYan szolgáltatói azonosítást és a kormányzati eszközazonosítókat.

A nagyszámú gyermek felhasználót tömörítő Roblox platformon megállapítást nyert, hogy a teljes Persona SDK-t – beleértve az NFC-alapú útlevélolvasási funkciót is – egy olyan ellenőrzési folyamatba ágyazták be, amelyből a felhasználók állítólag nem léphetnek ki annak befejezése nélkül.

Mit jelent ez az Ön számára?

A TBOTE Project vizsgálata nem vonja kétségbe a korhatár-ellenőrzés jogosságát. Az érvelés ennél pontosabb: a korhatár-ellenőrzés megvalósítására épülő infrastruktúra olyan technikai képességekkel és tulajdonosi struktúrákkal rendelkezik, amelyek messze túlmutatnak bármely önálló korhatár-ellenőrzési felhasználási eseten.

Az átlagos internetfelhasználók számára ez azt jelenti, hogy egy játékplatformon, közösségi hálózaton vagy felnőtteknek szóló tartalmi oldalon megjelenő korhatár-ellenőrzési felszólításnak való megfelelés során biometrikus adataikat több feltáratlan harmadik fél is feldolgozhatja, látható értesítés nélkül is sor kerülhet szolgáltatói szintű azonosításra, és az adatok kormányzati jelentési funkciókkal rendelkező rendszerekbe is bekerülhetnek.

Az Egyesült Államok több mint 25 tagállamának, Brazíliának és az Egyesült Királyságnak a jogszabályi előírásai egy, a vizsgálat által „kötelező piacnak" nevezett keresletet teremtenek ezek számára a szolgáltatások számára. A jelentés megjegyzi, hogy a Meta 26,3 millió dollárt költött lobbitevékenységre e jogszabályokkal összefüggésben. Brazília Serpro adatbázisa, amely körülbelül 220 millió brazil állampolgár adatait tartalmazza, szintén részét képezi annak az infrastrukturális környezetnek, amelyben ezek az ellenőrzési rendszerek működnek.

Aggasztó új fejleményként jelenik meg a személyazonosság-ellenőrzés és a mesterséges intelligencia ügynöki infrastruktúrájának összefonódása. A vizsgálat arra utal, hogy a személyazonosság-ellenőrzés az automatizált internetes tranzakciókban való részvétel általános előfeltételévé válik – nem csupán a korhatáros tartalmak esetében.

Gyakorlati teendők

Azok az olvasók, akik meg szeretnék érteni, milyen mértékben érintett az e infrastruktúra által, több gyakorlati lépést is megtehetnek.

Először is tekintsék át azoknak a platformoknak az adatvédelmi szabályzatát és aladatfeldolgozói nyilvánosságra hozatalait, amelyek személyazonosság-ellenőrzésre kérték Önöket. Ellenőrizzék, hogy szerepelnek-e köztük arcfelismerési megoldások szállítói és szolgáltatói azonosítási szolgáltatások.

Másodszor, legyenek tudatában annak, hogy egy platformon elvégzett „korhatár-ellenőrzés" nem jelenti azt, hogy adataik kizárólag annál a platformnál maradnak. Az SDK-alapú ellenőrzés az adatokat harmadik féltől származó személyazonosság-rendszereken keresztül irányítja tovább, amelyek mindegyike saját adatmegőrzési és adatmegosztási gyakorlattal rendelkezik.

Harmadszor, kövessék nyomon a jogalkotási fejleményeket az Önök joghatóságában. A korhatár-ellenőrzést előíró törvények jogi kötelezettségeket teremtenek a platformok számára, amelyek viszont elősegítik az e vizsgálatban leírt infrastruktúra elterjedését. Fontos tisztában lenni azzal, hogy az Önök állama vagy országa mit ír elő, hiszen ez összefügg azzal, milyen adatokat lehet esetleg kötelező megadni bizonyos online szolgáltatások igénybevételéhez.

A TBOTE Project teljes vizsgálata – beleértve a módszertant és a forrásanyagokat – nyilvánosan elérhető. A megállapítások a korhatár-ellenőrzési iparág eddigi egyik legtechnikailag részletesebb nyilvános elemzésének tekinthetők, és az általuk felvetett kérdések a közzétételről, az adatfolyamatokról és a strukturális összeférhetetlenségekről várhatóan folyamatosan foglalkoztatják majd a szabályozókat, az újságírókat és az adatvédelmi kutatókat.