Wat is de belangrijkste zorg die het TBOTE Project uit over leeftijdsverificatiewetten?

Het TBOTE Project stelt dat de infrastructuur die is gebouwd om te voldoen aan leeftijdsverificatiewetten, functioneert als een grensoverschrijdend biometrisch surveillancesysteem, en niet louter als een instrument ter bescherming van minderjarigen. Het documenteert niet-bekendgemaakte gegevensverwerkers, stille telefoonauthenticatie en overheidsrapportagemodules die in de code zijn ingebed.

Wat is de verbinding tussen Peter Thiel en de gegevensverzameling die in het onderzoek wordt beschreven?

Peter Thiel was medeoprichter van Palantir, dat surveillanceanalytics verkoopt aan overheden, terwijl zijn durfkapitaalbedrijf Founders Fund de primaire investeerder is in Persona, een identiteitsverificatiebedrijf dat biometrische gegevens vastlegt. Het onderzoek omschrijft dit als een 'verzameling en analyse'-nexus waarbij dezelfde financiële belanghebbende profiteert van beide kanten van de datapijplijn.

Welke beveiligingskwetsbaarheden werden gevonden in de Persona SDK?

Onderzoekers ontdekten een hardgecodeerde AES-coderingssleutel in de Persona SDK, die werd gerouleerd nadat de bevinding werd bekendgemaakt in versie 1.15.3. De SDK miste ook certificaatpinning, een standaardbeveiligingsmaatregel die man-in-the-middle-onderschepping van gegevens tijdens overdracht voorkomt.

Werden gebruikers op de hoogte gesteld van de telefoonauthenticatie die plaatsvond tijdens Persona-verificatiesessies?

Nee, het onderzoek stelde vast dat Telesign stille netwerkauthenticatie uitvoerde zonder kennisgeving aan de gebruiker, en dat authenticatie op dragersniveau via Vonage plaatsvond zonder expliciete bewustwording van de gebruiker.

Welke overheidsrapportagemogelijkheden werden gevonden in de uitgelekte broncode van Persona?

De uitgelekte broncode van Persona bevat naar verluidt overheidsrapportagemodules die specifiek zijn gebouwd voor FinCEN en FINTRAC, de financiële inlichtingeneenheden van respectievelijk de Verenigde Staten en Canada.

Leeftijdsverificatiewetten Bouwen aan een Wereldwijd Surveillancenetwerk

Leeftijdsverificatiewetten verspreiden zich door de Verenigde Staten, het Verenigd Koninkrijk en Brazilië met als officieel doel minderjarigen online te beschermen. Maar een gedetailleerd technisch onderzoek door het TBOTE Project stelt dat de infrastructuur die wordt opgebouwd om aan deze wetten te voldoen, functioneert als iets veel omvangrijkers: een grensoverschrijdend biometrisch surveillancesysteem met niet-bekendgemaakte gegevensverwerkers, stille telefoonauthenticatie en overheidsrapportagemodules die rechtstreeks in de code zijn ingebakken.

Het onderzoek, bijgewerkt in april 2026, maakt gebruik van DNS-analyse, SDK-decompilatie, certificaattransparantielogboeken, bedrijfsregistratiegegevens en SEC EDGAR-dossiers. Alle aangehaalde bronnen zijn openbaar.

Het Thiel-Nexus: Één Investeerder, Twee Kanten van de Datapijplijn

Een van de centrale structurele bevindingen van het onderzoek betreft Peter Thiel. Thiel was medeoprichter van Palantir Technologies, een bedrijf dat surveillanceanalytics verkoopt aan overheden en bedrijven wereldwijd. Zijn durfkapitaalvehikel, Founders Fund, is tevens de primaire investeerder in Persona, een identiteitsverificatiebedrijf waarvan de SDK is ingebed in platforms van Roblox tot Robinhood.

Het TBOTE Project omschrijft dit als een 'verzameling en analyse'-nexus: dezelfde financiële belanghebbende profiteert zowel van het vastleggen van biometrische identiteitsgegevens als van de daaropvolgende analyse van die gegevens. Het onderzoek stelt geen coördinatie tussen Persona en Palantir op productniveau, maar documenteert de gedeelde eigendomsstructuur als een materieel feit dat niet wordt bekendgemaakt aan gebruikers die met Persona's verificatieprocessen te maken krijgen.

De uitgelekte broncode van Persona, die als onderdeel van het onderzoek werd beoordeeld, bevat naar verluidt 269 verificatiechecks, 43 verificatietypes en overheidsrapportagemodules die zijn gebouwd voor FinCEN en FINTRAC, de financiële inlichtingeneenheden van respectievelijk de Verenigde Staten en Canada.

Wat de Technische Analyse Heeft Gevonden

Het SDK-decompilatie-onderdeel van het onderzoek leverde verscheidene specifieke bevindingen op die verder gaan dan standaard privacyzorgen.

In de Persona SDK werd een hardgecodeerde AES-coderingssleutel ontdekt. De sleutel werd gerouleerd in versie 1.15.3 nadat de bevinding werd bekendgemaakt, wat erop wijst dat het probleem werd bevestigd en aangepakt. De SDK miste ook certificaatpinning, een standaardbeveiligingsmaatregel die man-in-the-middle-onderschepping van gegevens tijdens overdracht voorkomt.

Tijdens een standaard verificatiesessie werden zeven gelijktijdig actieve analytische diensten aangetroffen. Telesign, een bedrijf dat voor de meerderheid eigendom is van Proximus, de Belgische staatstelecommunicatieoperator, werd geïdentificeerd als uitvoerder van stille netwerkauthenticatie zonder kennisgeving aan de gebruiker. Authenticatie op dragersniveau via de telefoon bleek ook te worden uitgevoerd via Vonage, zonder expliciete bewustwording van de gebruiker.

De gezichtsherkenningscomponent van Persona's systeem wordt aangedreven door Paravision, een bedrijf dat de eerste plaats behaalde bij een biometrische nauwkeurigheidsevaluatie van het Department of Homeland Security. Paravision verschijnt volgens het onderzoek niet op de openbaar bekendgemaakte subverwerkerspagina van Persona. Het TBOTE Project identificeerde 12 gegevensverwerkers die het omschrijft als niet-bekendgemaakt.

Subdomeinenumeratie van withpersona.com onthulde 197 subdomeinen, waaronder 65 stagingomgevingen die interne machine-learningdiensten blootlegden, een grafische database die werd geïdentificeerd als TigerGraph, en een gateway naar de AAMVA, de American Association of Motor Vehicle Administrators, die rijbewijsgegevens beheert in alle Amerikaanse staten.

Het onderzoek documenteert ook dat LinkedIn vier afzonderlijke identiteitsverificatieleveranciers tegelijkertijd laat draaien, naast wat het omschrijft als een parallelle Chinese surveillancestack in dezelfde Android APK, inclusief Sesame Credit sociale score-integratie, ShanYan-dragerauthenticatie en door de overheid uitgegeven apparaatidentificatoren.

Roblox, een platform met een grote populatie jonge gebruikers, bleek de volledige Persona SDK in te bedden, inclusief NFC-paspoortleesfunctionaliteit, binnen een verificatieproces waaruit gebruikers naar verluidt niet kunnen stappen zonder het te voltooien.

Wat Dit voor U Betekent

Het onderzoek van het TBOTE Project stelt niet dat leeftijdsverificatie op zichzelf onrechtmatig is. Het argument is specifieker: de infrastructuur die wordt gebouwd om leeftijdsverificatie te implementeren, beschikt over technische mogelijkheden en eigendomsstructuren die ver buiten welke afzonderlijke leeftijdsafscherming dan ook reiken.

Voor gewone internetgebruikers betekent dit dat het voldoen aan een leeftijdsverificatieprompt op een gamingplatform, een sociaal netwerk of een website met volwasseneninhoud kan inhouden dat biometrische gegevens worden verwerkt door meerdere niet-bekendgemaakte derden, dat authenticatie op dragersniveau plaatsvindt zonder zichtbare kennisgeving, en dat gegevens doorstromen naar systemen met overheidsrapportagefuncties.

Wettelijke verplichtingen in meer dan 25 Amerikaanse staten, Brazilië en het Verenigd Koninkrijk creëren wat het onderzoek een 'verplichte markt' voor deze diensten noemt. Het rapport vermeldt dat Meta $26,3 miljoen heeft besteed aan lobbyactiviteiten in verband met deze wetgeving. De Braziliaanse Serpro-database, die gegevens bevat van ongeveer 220 miljoen Braziliaanse burgers, wordt geïdentificeerd als onderdeel van de infrastructuuromgeving waarin deze verificatiesystemen opereren.

De convergentie van identiteitsverificatie met AI-agentinfrastructuur wordt aangemerkt als een opkomende zorg. Het onderzoek suggereert dat identiteitsverificatie wordt gepositioneerd als een vereiste voor deelname aan geautomatiseerde internettransacties in het algemeen, niet alleen voor leeftijdsgebonden inhoud.

Praktische Aanbevelingen

Lezers die inzicht willen krijgen in hun blootstelling aan deze infrastructuur kunnen een aantal praktische stappen ondernemen.

Ten eerste, bekijk de privacybeleid en subverwerkersopenbaarmakingen van elk platform dat u heeft gevraagd identiteitsverificatie te voltooien. Let op of gezichtsherkenningsleveranciers en dragerauthenticatiediensten worden vermeld.

Ten tweede, wees ervan bewust dat 'leeftijdsverificatie' op een platform niet betekent dat uw gegevens bij dat platform blijven. SDK-gebaseerde verificatie stuurt gegevens via identiteitssystemen van derden, elk met hun eigen praktijken voor gegevensretentie en -deling.

Ten derde, volg de wetgevende ontwikkelingen in uw rechtsgebied. Wetten die leeftijdsverificatie vereisen, scheppen juridische verplichtingen voor platforms, wat op zijn beurt de adoptie van de in dit onderzoek beschreven infrastructuur stimuleert. Begrijpen wat uw staat of land verplicht stelt, is relevant om te begrijpen welke gegevens u mogelijk moet verstrekken om bepaalde online diensten te gebruiken.

Het volledige onderzoek van het TBOTE Project, inclusief de methodologie en brondocumenten, is openbaar beschikbaar. De bevindingen vertegenwoordigen een van de meer technisch gedetailleerde openbare analyses van de leeftijdsverificatie-industrie tot nu toe, en de vragen die het oproept over openbaarmaking, gegevensstromen en structurele belangenconflicten zullen waarschijnlijk blijven worden onderzocht door toezichthouders, journalisten en privacyonderzoekers.