Apa kekhawatiran utama yang diangkat oleh TBOTE Project mengenai undang-undang verifikasi usia?

TBOTE Project berpendapat bahwa infrastruktur yang dibangun untuk mematuhi undang-undang verifikasi usia berfungsi sebagai sistem pengawasan biometrik lintas batas, bukan sekadar alat untuk melindungi anak di bawah umur. Investigasi ini mendokumentasikan pemroses data yang tidak diungkapkan, autentikasi telepon secara diam-diam, dan modul pelaporan pemerintah yang tertanam dalam kode.

Apa hubungan antara Peter Thiel dan pengumpulan data yang dijelaskan dalam investigasi ini?

Peter Thiel ikut mendirikan Palantir, yang menjual analitik pengawasan kepada pemerintah, sementara perusahaan modal ventura miliknya, Founders Fund, adalah investor utama di Persona, sebuah perusahaan verifikasi identitas yang menangkap data biometrik. Investigasi ini menggambarkan hal ini sebagai nexus 'pengumpulan dan analisis' di mana pemangku kepentingan finansial yang sama memperoleh keuntungan dari kedua sisi jalur data.

Kerentanan keamanan apa yang ditemukan dalam SDK Persona?

Para penyelidik menemukan kunci enkripsi AES yang di-hardcode dalam SDK Persona, yang dirotasi setelah temuan tersebut diungkapkan pada versi 1.15.3. SDK ini juga tidak memiliki certificate pinning, sebuah langkah keamanan standar yang mencegah intersepsi man-in-the-middle terhadap data yang sedang dikirim.

Apakah pengguna diberitahu tentang autentikasi telepon yang terjadi selama sesi verifikasi Persona?

Tidak, investigasi menemukan bahwa Telesign melakukan autentikasi jaringan secara diam-diam tanpa pemberitahuan kepada pengguna, dan verifikasi telepon di tingkat operator berjalan melalui Vonage tanpa kesadaran eksplisit dari pengguna.

Kemampuan pelaporan pemerintah apa yang ditemukan dalam kode sumber Persona yang bocor?

Kode sumber Persona yang bocor dilaporkan berisi modul pelaporan pemerintah yang dibangun khusus untuk FinCEN dan FINTRAC, masing-masing merupakan unit intelijen keuangan Amerika Serikat dan Kanada.

Undang-Undang Verifikasi Usia Sedang Membangun Jaringan Pengawasan Global

Undang-undang verifikasi usia sedang menyebar di Amerika Serikat, Inggris, dan Brasil dengan tujuan yang dinyatakan untuk melindungi anak di bawah umur secara online. Namun sebuah investigasi teknis mendalam oleh TBOTE Project berpendapat bahwa infrastruktur yang dibangun untuk mematuhi undang-undang ini berfungsi sebagai sesuatu yang jauh lebih luas: sebuah sistem pengawasan biometrik lintas batas dengan pemroses data yang tidak diungkapkan, autentikasi telepon secara diam-diam, dan modul pelaporan pemerintah yang tertanam langsung dalam kode.

Investigasi ini, yang diperbarui pada April 2026, didasarkan pada analisis DNS, dekomipilasi SDK, catatan transparansi sertifikat, catatan registri perusahaan, dan pengajuan SEC EDGAR. Semua sumber yang dikutip bersifat publik.

Nexus Thiel: Satu Investor, Dua Sisi Jalur Data

Salah satu temuan struktural utama investigasi ini berkaitan dengan Peter Thiel. Thiel ikut mendirikan Palantir Technologies, sebuah perusahaan yang menjual analitik pengawasan kepada pemerintah dan korporasi di seluruh dunia. Kendaraan modal ventura miliknya, Founders Fund, juga merupakan investor utama di Persona, sebuah perusahaan verifikasi identitas yang SDK-nya tertanam di berbagai platform mulai dari Roblox hingga Robinhood.

TBOTE Project menggambarkan ini sebagai nexus "pengumpulan dan analisis": pemangku kepentingan finansial yang sama memperoleh keuntungan baik dari penangkapan data identitas biometrik maupun dari analitik hilir yang dilakukan terhadap data tersebut. Investigasi ini tidak menuduh adanya koordinasi antara Persona dan Palantir di tingkat produk, tetapi mendokumentasikan struktur kepemilikan bersama sebagai fakta material yang tidak diungkapkan kepada pengguna yang berinteraksi dengan alur verifikasi Persona.

Kode sumber Persona yang bocor, yang ditinjau sebagai bagian dari investigasi, dilaporkan berisi 269 pemeriksaan verifikasi, 43 jenis verifikasi, dan modul pelaporan pemerintah yang dibangun untuk FinCEN dan FINTRAC, masing-masing merupakan unit intelijen keuangan Amerika Serikat dan Kanada.

Apa yang Ditemukan oleh Analisis Teknis

Bagian dekomipilasi SDK dari investigasi ini menghasilkan beberapa temuan spesifik yang melampaui kekhawatiran privasi standar.

Sebuah kunci enkripsi AES yang di-hardcode ditemukan dalam SDK Persona. Kunci tersebut dirotasi pada versi 1.15.3 setelah temuan ini diungkapkan, yang mengindikasikan bahwa masalah tersebut telah dikonfirmasi dan ditangani. SDK ini juga tidak memiliki certificate pinning, sebuah langkah keamanan standar yang mencegah intersepsi man-in-the-middle terhadap data yang sedang dikirim.

Tujuh layanan analitik yang berjalan secara bersamaan ditemukan selama sesi verifikasi standar. Telesign, sebuah perusahaan yang mayoritas sahamnya dimiliki oleh Proximus, operator telekomunikasi milik negara Belgia, diidentifikasi melakukan autentikasi jaringan secara diam-diam tanpa pemberitahuan kepada pengguna. Verifikasi telepon di tingkat operator juga ditemukan berjalan melalui Vonage tanpa kesadaran eksplisit dari pengguna.

Komponen pengenalan wajah dari sistem Persona ditenagai oleh Paravision, sebuah perusahaan yang menduduki peringkat pertama dalam evaluasi akurasi biometrik oleh Departemen Keamanan Dalam Negeri. Paravision tidak muncul di halaman subpemroses yang diungkapkan secara publik oleh Persona, menurut investigasi ini. TBOTE Project mengidentifikasi 12 pemroses data yang disebutnya tidak diungkapkan.

Enumerasi subdomain dari withpersona.com mengungkapkan 197 subdomain, termasuk 65 lingkungan staging yang mengekspos layanan pembelajaran mesin internal, sebuah basis data graf yang diidentifikasi sebagai TigerGraph, dan sebuah gateway ke AAMVA, yaitu Asosiasi Administrator Kendaraan Bermotor Amerika, yang mengelola data surat izin mengemudi di seluruh negara bagian AS.

Investigasi ini juga mendokumentasikan LinkedIn yang menjalankan empat vendor verifikasi identitas terpisah secara bersamaan, di samping apa yang digambarkannya sebagai tumpukan pengawasan China paralel dalam APK Android yang sama, termasuk integrasi penilaian sosial Sesame Credit, autentikasi operator ShanYan, dan pengidentifikasi perangkat pemerintah.

Roblox, sebuah platform dengan populasi besar pengguna anak-anak, ditemukan menyematkan SDK Persona secara penuh termasuk fungsionalitas pembacaan paspor NFC, dalam alur verifikasi yang dilaporkan tidak dapat ditinggalkan oleh pengguna tanpa menyelesaikannya.

Apa Artinya Ini Bagi Anda

Investigasi TBOTE Project tidak berpendapat bahwa verifikasi usia itu sendiri tidak sah. Argumennya lebih spesifik: infrastruktur yang dibangun untuk mengimplementasikan verifikasi usia memiliki kemampuan teknis dan struktur kepemilikan yang jauh melampaui kasus penggunaan pembatasan usia mana pun secara tunggal.

Bagi pengguna internet biasa, ini berarti bahwa mematuhi permintaan verifikasi usia di platform game, jejaring sosial, atau situs konten dewasa mungkin melibatkan data biometrik yang diproses oleh beberapa pihak ketiga yang tidak diungkapkan, autentikasi telepon di tingkat operator yang terjadi tanpa pemberitahuan yang terlihat, dan data yang mengalir ke dalam sistem dengan fungsi pelaporan pemerintah.

Mandat legislatif di lebih dari 25 negara bagian AS, Brasil, dan Inggris menciptakan apa yang disebut investigasi ini sebagai "pasar wajib" untuk layanan-layanan ini. Laporan tersebut mencatat bahwa Meta menghabiskan $26,3 juta untuk lobi sehubungan dengan undang-undang ini. Basis data Serpro milik Brasil, yang menyimpan catatan sekitar 220 juta warga negara Brasil, diidentifikasi sebagai bagian dari lingkungan infrastruktur tempat sistem verifikasi ini beroperasi.

Konvergensi verifikasi identitas dengan infrastruktur agen AI ditandai sebagai kekhawatiran yang sedang berkembang. Investigasi ini menyarankan bahwa verifikasi identitas sedang diposisikan sebagai prasyarat untuk partisipasi dalam transaksi internet otomatis secara lebih luas, bukan hanya konten yang dibatasi usia.

Langkah-Langkah yang Dapat Diambil

Pembaca yang ingin memahami keterpaparan mereka terhadap infrastruktur ini dapat mengambil beberapa langkah praktis.

Pertama, tinjau kebijakan privasi dan pengungkapan subpemroses dari platform mana pun yang telah meminta Anda untuk menyelesaikan verifikasi identitas. Perhatikan apakah vendor pengenalan wajah dan layanan autentikasi operator tercantum di sana.

Kedua, perlu dipahami bahwa "verifikasi usia" di sebuah platform tidak berarti data Anda tetap berada di platform tersebut. Verifikasi berbasis SDK mengarahkan data melalui sistem identitas pihak ketiga, masing-masing dengan praktik penyimpanan dan berbagi data mereka sendiri.

Ketiga, ikuti perkembangan legislatif di yurisdiksi Anda. Undang-undang yang mewajibkan verifikasi usia menciptakan kewajiban hukum bagi platform, yang pada gilirannya mendorong adopsi infrastruktur yang dijelaskan dalam investigasi ini. Memahami apa yang diamanatkan oleh negara bagian atau negara Anda relevan untuk memahami data apa yang mungkin Anda wajibkan untuk diserahkan guna menggunakan layanan online tertentu.

Investigasi lengkap TBOTE Project, termasuk metodologi dan dokumen sumbernya, tersedia untuk publik. Temuan-temuan ini mewakili salah satu analisis publik yang paling terperinci secara teknis mengenai industri verifikasi usia hingga saat ini, dan pertanyaan-pertanyaan yang diajukannya mengenai pengungkapan, aliran data, dan konflik kepentingan struktural adalah hal-hal yang kemungkinan besar akan terus diperiksa oleh para regulator, jurnalis, dan peneliti privasi.