Hva er den viktigste bekymringen TBOTE-prosjektet reiser om aldersverifiseringslover?

TBOTE-prosjektet hevder at infrastrukturen som bygges for å overholde aldersverifiseringslover fungerer som et grenseoverskridende biometrisk overvåkningssystem, ikke bare som et verktøy for å beskytte mindreårige. Det dokumenterer ikke-opplyste databehandlere, stille telefonautentisering og statlige rapporteringsmoduler innebygd i koden.

Hva er forbindelsen mellom Peter Thiel og datainnsamlingen beskrevet i undersøkelsen?

Peter Thiel var med på å grunnlegge Palantir, som selger overvåkningsanalyse til myndigheter, mens hans venturekapitalfond Founders Fund er primærinvestor i Persona, et identitetsverifiseringsselskap som innhenter biometriske data. Undersøkelsen beskriver dette som et «innsamlings- og analyse»-nexus der den samme finansielle aktøren tjener på begge sider av datapipelinen.

Hvilke sikkerhetssårbarheter ble funnet i Persona SDK?

Etterforskerne oppdaget en hardkodet AES-krypteringsnøkkel i Persona SDK, som ble rotert etter at funnet ble offentliggjort i versjon 1.15.3. SDK-en manglet også sertifikatfesting, et standard sikkerhetstiltak som forhindrer avlytting av data under overføring ved hjelp av mann-i-midten-angrep.

Ble brukere varslet om telefonautentiseringen som fant sted under Persona-verifiseringsøkter?

Nei, undersøkelsen fant at Telesign utførte stille nettverksautentisering uten brukervarsel, og at telefonautentisering på operatørnivå kjørte via Vonage uten eksplisitt bevissthet fra brukeren.

Hvilke statlige rapporteringskapasiteter ble funnet i Personas lekkede kildekode?

Personas lekkede kildekode skal angivelig inneholde statlige rapporteringsmoduler bygget spesifikt for FinCEN og FINTRAC, henholdsvis de finansielle etterretningsenhetene i USA og Canada.

Aldersverifiseringslover bygger et globalt overvåkningsnettverk

Aldersverifiseringslover sprer seg gjennom USA, Storbritannia og Brasil med et uttalt mål om å beskytte mindreårige på nett. Men en detaljert teknisk undersøkelse fra TBOTE-prosjektet hevder at infrastrukturen som bygges for å overholde disse lovene fungerer som noe langt mer omfattende: et grenseoverskridende biometrisk overvåkningssystem med ikke-opplyste databehandlere, stille telefonautentisering og statlige rapporteringsmoduler innebygd direkte i koden.

Undersøkelsen, oppdatert i april 2026, bygger på DNS-analyse, SDK-dekompilering, sertifikattransparenslogger, foretaksregisteropplysninger og SEC EDGAR-innleveringer. Alle kilder som er sitert er offentlig tilgjengelige.

Thiel-forbindelsen: Én investor, to sider av datapipelinen

Et av undersøkelsens sentrale strukturelle funn gjelder Peter Thiel. Thiel var med på å grunnlegge Palantir Technologies, et selskap som selger overvåkningsanalyse til myndigheter og selskaper verden over. Hans venturekapitalfond, Founders Fund, er også primærinvestor i Persona, et identitetsverifiseringsselskap hvis SDK er innebygd i plattformer som spenner fra Roblox til Robinhood.

TBOTE-prosjektet beskriver dette som et «innsamlings- og analyse»-nexus: den samme finansielle aktøren tjener på både innhenting av biometriske identitetsdata og den etterfølgende analysen av disse dataene. Undersøkelsen påstår ikke koordinering mellom Persona og Palantir på produktnivå, men dokumenterer den felles eierstrukturen som et vesentlig faktum som ikke opplyses til brukere som benytter Personas verifiseringsflyter.

Personas lekkede kildekode, gjennomgått som en del av undersøkelsen, skal angivelig inneholde 269 verifiseringskontroller, 43 verifiseringstyper og statlige rapporteringsmoduler bygget for FinCEN og FINTRAC, henholdsvis de finansielle etterretningsenhetene i USA og Canada.

Hva den tekniske analysen avdekket

SDK-dekompileringsdelen av undersøkelsen ga flere spesifikke funn som går utover standard personvernbekymringer.

En hardkodet AES-krypteringsnøkkel ble oppdaget i Persona SDK. Nøkkelen ble rotert i versjon 1.15.3 etter at funnet ble offentliggjort, noe som tyder på at problemet ble bekreftet og håndtert. SDK-en manglet også sertifikatfesting, et standard sikkerhetstiltak som forhindrer avlytting av data under overføring ved hjelp av mann-i-midten-angrep.

Syv samtidige analysetjenester ble funnet å kjøre under en standard verifiseringsøkt. Telesign, et selskap med majoritetseierskap hos Proximus, den belgisk statseide telekomoperatøren, ble identifisert som utfører av stille nettverksautentisering uten brukervarsel. Telefonautentisering på operatørnivå ble også funnet å kjøre via Vonage uten eksplisitt bevissthet fra brukeren.

Ansiktsgjenkjenningskomponenten i Personas system drives av Paravision, et selskap som rangerte førsteplass i en biometrisk nøyaktighetsevaluering utført av Department of Homeland Security. Paravision fremkommer ikke på Personas offentlig tilgjengelige side for underdatabehandlere, ifølge undersøkelsen. TBOTE-prosjektet identifiserte 12 databehandlere som beskrives som ikke-opplyste.

Subdomeneoppregning av withpersona.com avdekket 197 subdomener, inkludert 65 testmiljøer som eksponerte interne maskinlæringstjenester, en grafbase identifisert som TigerGraph, og en gateway til AAMVA, American Association of Motor Vehicle Administrators, som administrerer førerkortsdata på tvers av amerikanske delstater.

Undersøkelsen dokumenterer også at LinkedIn kjører fire separate identitetsverifiseringstilbydere samtidig, sammen med det som beskrives som en parallell kinesisk overvåkningsstack i den samme Android APK-filen, inkludert Sesame Credit-integrasjon for sosial kredittvurdering, ShanYan-operatørauthentisering og statlige enhetsidentifikatorer.

Roblox, en plattform med en stor andel barnlige brukere, ble funnet å innebygge den fullstendige Persona SDK-en inkludert NFC-pasportlesefunksjonalitet, i en verifiseringsflyt som brukere angivelig ikke kan forlate uten å fullføre.

Hva dette betyr for deg

TBOTE-prosjektets undersøkelse argumenterer ikke for at aldersverifisering i seg selv er illegitim. Argumentet er mer spesifikt: infrastrukturen som bygges for å implementere aldersverifisering har tekniske kapasiteter og eierstrukturer som strekker seg langt utover ethvert enkelt aldersportbruk.

For vanlige internettbrukere betyr dette at det å etterkomme en aldersverifiseringsforespørsel på en spillplattform, et sosialt nettverk eller et nettsted med voksent innhold kan innebære at biometriske data behandles av flere ikke-opplyste tredjeparter, at autentisering på operatørnivå skjer uten synlig varsel, og at data flyter inn i systemer med statlige rapporteringsfunksjoner.

Lovpålagte krav i mer enn 25 amerikanske delstater, Brasil og Storbritannia skaper det undersøkelsen kaller et «obligatorisk marked» for disse tjenestene. Rapporten bemerker at Meta brukte 26,3 millioner dollar på lobbyvirksomhet i forbindelse med denne lovgivningen. Brasils Serpro-database, som inneholder opplysninger om omtrent 220 millioner brasilianske borgere, identifiseres som en del av infrastrukturmiljøet der disse verifiseringssystemene opererer.

Konvergensen mellom identitetsverifisering og AI-agentinfrastruktur flagges som en fremvoksende bekymring. Undersøkelsen antyder at identitetsverifisering posisjoneres som en forutsetning for deltakelse i automatiserte internettransaksjoner mer generelt, ikke bare for aldersbegrenset innhold.

Praktiske råd

Lesere som ønsker å forstå sin eksponering for denne infrastrukturen kan ta flere praktiske skritt.

For det første bør du gjennomgå personvernreglene og underdatabehandleropplysningene til enhver plattform som har bedt deg om å gjennomføre identitetsverifisering. Legg merke til om leverandører av ansiktsgjenkjenning og operatørauthentiseringstjenester er oppført.

For det andre bør du være klar over at «aldersverifisering» på en plattform ikke betyr at dataene dine forblir hos den plattformen. SDK-basert verifisering ruter data gjennom tredjepartsidentitetssystemer, som hver har sine egne praksiser for datalagring og datadeling.

For det tredje bør du følge med på lovgivningsutviklingen i din jurisdiksjon. Lover som krever aldersverifisering skaper juridiske forpliktelser for plattformer, som igjen driver adopsjon av infrastrukturen beskrevet i denne undersøkelsen. Å forstå hva din delstat eller ditt land pålegger er relevant for å forstå hvilke data du kan bli pålagt å oppgi for å bruke visse nettbaserte tjenester.

TBOTE-prosjektets fullstendige undersøkelse, inkludert metodikk og kildedokumenter, er offentlig tilgjengelig. Funnene representerer en av de mer teknisk detaljerte offentlige analysene av aldersverifiseringsbransjen til dags dato, og spørsmålene den reiser om opplysningsplikt, dataflyter og strukturelle interessekonflikter er spørsmål som regulatorer, journalister og personvernforskere sannsynligvis vil fortsette å undersøke.