Jakie są główne obawy podnoszone przez TBOTE Project w związku z przepisami o weryfikacji wieku?

TBOTE Project twierdzi, że infrastruktura zbudowana w celu spełnienia wymogów przepisów o weryfikacji wieku funkcjonuje jako transgraniczna biometryczna sieć inwigilacji, a nie jedynie narzędzie ochrony nieletnich. Dochodzenie dokumentuje nieujawnionych podmiotów przetwarzających dane, ciche uwierzytelnianie telefonów oraz moduły raportowania rządowego osadzone w kodzie.

Jaki jest związek Petera Thiela z opisanym w dochodzeniu zbieraniem danych?

Peter Thiel był współzałożycielem Palantir – firmy sprzedającej narzędzia analityki inwigilacyjnej rządom – podczas gdy jego firma venture capital Founders Fund jest głównym inwestorem w Persona, spółce zajmującej się weryfikacją tożsamości, która pozyskuje dane biometryczne. Dochodzenie opisuje to jako nexus „zbierania i analizy", w którym ten sam finansowy interesariusz czerpie korzyści z obu stron rurociągu danych.

Jakie luki w zabezpieczeniach wykryto w SDK Persony?

Śledczy odkryli zakodowany na stałe klucz szyfrowania AES w SDK Persony, który został zmieniony po ujawnieniu tego odkrycia w wersji 1.15.3. SDK brakowało również przypinania certyfikatów – standardowego środka bezpieczeństwa zapobiegającego przechwytywaniu danych w tranzycie metodą ataku man-in-the-middle.

Czy użytkownicy byli powiadamiani o uwierzytelnianiu telefonicznym zachodzącym podczas sesji weryfikacji Persony?

Nie. Dochodzenie wykazało, że Telesign przeprowadzał ciche uwierzytelnianie sieciowe bez powiadamiania użytkownika, a weryfikacja telefoniczna na poziomie operatora odbywała się za pośrednictwem Vonage bez wyraźnej wiedzy użytkownika.

Jakie możliwości raportowania rządowego wykryto w ujawnionym kodzie źródłowym Persony?

Ujawniony kod źródłowy Persony zawiera podobno moduły raportowania rządowego zbudowane specjalnie dla FinCEN i FINTRAC – jednostek wywiadu finansowego odpowiednio Stanów Zjednoczonych i Kanady.

Przepisy o weryfikacji wieku budują globalną sieć inwigilacji

Przepisy o weryfikacji wieku rozprzestrzeniają się w Stanach Zjednoczonych, Wielkiej Brytanii i Brazylii pod hasłem ochrony nieletnich w sieci. Jednak szczegółowe dochodzenie techniczne przeprowadzone przez TBOTE Project przekonuje, że infrastruktura budowana w celu spełnienia tych wymogów działa jako coś znacznie szerszego: transgraniczna biometryczna sieć inwigilacji z nieujawnionymi podmiotami przetwarzającymi dane, cichym uwierzytelnianiem telefonów i modułami raportowania rządowego wbudowanymi bezpośrednio w kod.

Dochodzenie, zaktualizowane w kwietniu 2026 roku, opiera się na analizie DNS, dekompilacji SDK, dziennikach przejrzystości certyfikatów, rejestrach korporacyjnych oraz zgłoszeniach do SEC EDGAR. Wszystkie przytoczone źródła są publiczne.

Nexus Thiela: jeden inwestor, dwie strony rurociągu danych

Jednym z centralnych ustaleń strukturalnych dochodzenia jest postać Petera Thiela. Thiel był współzałożycielem Palantir Technologies – firmy sprzedającej narzędzia analityki inwigilacyjnej rządom i korporacjom na całym świecie. Jego wehikuł venture capital, Founders Fund, jest również głównym inwestorem w Persona – firmie weryfikacji tożsamości, której SDK jest osadzone na platformach od Roblox po Robinhood.

TBOTE Project opisuje to jako nexus „zbierania i analizy": ten sam finansowy interesariusz czerpie korzyści zarówno z pozyskiwania biometrycznych danych tożsamości, jak i z analityki wykonywanej na tych danych. Dochodzenie nie stawia zarzutu koordynacji między Personą a Palantirem na poziomie produktu, jednak dokumentuje wspólną strukturę własności jako istotny fakt, który nie jest ujawniany użytkownikom korzystającym z procesów weryfikacji Persony.

Ujawniony kod źródłowy Persony, przejrzany w ramach dochodzenia, zawiera podobno 269 kontroli weryfikacyjnych, 43 typy weryfikacji oraz moduły raportowania rządowego zbudowane dla FinCEN i FINTRAC – jednostek wywiadu finansowego odpowiednio Stanów Zjednoczonych i Kanady.

Co wykazała analiza techniczna

Część dochodzenia dotycząca dekompilacji SDK przyniosła kilka konkretnych ustaleń wykraczających poza standardowe obawy dotyczące prywatności.

W SDK Persony odkryto zakodowany na stałe klucz szyfrowania AES. Klucz został zmieniony w wersji 1.15.3 po ujawnieniu tego odkrycia, co sugeruje, że problem został potwierdzony i rozwiązany. SDK brakowało również przypinania certyfikatów – standardowego środka bezpieczeństwa zapobiegającego przechwytywaniu danych w tranzycie metodą ataku man-in-the-middle.

Podczas standardowej sesji weryfikacji stwierdzono jednoczesne działanie siedmiu usług analitycznych. Ustalono, że Telesign – firma będąca w większości własnością Proximus, belgijskiego państwowego operatora telekomunikacyjnego – przeprowadza ciche uwierzytelnianie sieciowe bez powiadamiania użytkownika. Stwierdzono również, że weryfikacja telefoniczna na poziomie operatora odbywa się za pośrednictwem Vonage bez wyraźnej wiedzy użytkownika.

Komponent rozpoznawania twarzy w systemie Persony jest obsługiwany przez Paravision – firmę zajmującą pierwsze miejsce w ocenie dokładności biometrycznej przeprowadzonej przez Departament Bezpieczeństwa Wewnętrznego. Według ustaleń dochodzenia Paravision nie figuruje na publicznie dostępnej stronie Persony poświęconej ujawnionym podprocesorom. TBOTE Project zidentyfikował 12 podmiotów przetwarzających dane, które określa mianem nieujawnionych.

Enumeracja subdomen domeny withpersona.com ujawniła 197 subdomen, w tym 65 środowisk testowych, które eksponowały wewnętrzne usługi uczenia maszynowego, bazę danych grafowych zidentyfikowaną jako TigerGraph oraz bramę do AAMVA – American Association of Motor Vehicle Administrators – organizacji zarządzającej danymi z praw jazdy we wszystkich stanach USA.

Dochodzenie dokumentuje również, że LinkedIn korzysta jednocześnie z czterech różnych dostawców weryfikacji tożsamości, a towarzyszą temu – jak opisuje raport – równoległy chiński stos inwigilacyjny w tym samym pliku APK na Androida, obejmujący integrację z systemem scoringu społecznego Sesame Credit, uwierzytelnianie operatorskie ShanYan oraz rządowe identyfikatory urządzeń.

Roblox – platforma z dużą populacją młodych użytkowników – osadza pełne SDK Persony, w tym funkcję odczytu paszportów przez NFC, w procesie weryfikacji, z którego użytkownicy podobno nie mogą wyjść bez jego ukończenia.

Co to oznacza dla Ciebie

Dochodzenie TBOTE Project nie twierdzi, że weryfikacja wieku sama w sobie jest nieuzasadniona. Jego argument jest bardziej precyzyjny: infrastruktura budowana w celu wdrożenia weryfikacji wieku posiada możliwości techniczne i struktury własnościowe wykraczające daleko poza jakikolwiek pojedynczy przypadek użycia związany z bramkowaniem dostępu według wieku.

Dla zwykłych użytkowników internetu oznacza to, że zastosowanie się do monitu weryfikacji wieku na platformie gamingowej, w serwisie społecznościowym lub na stronie z treściami dla dorosłych może wiązać się z przetwarzaniem danych biometrycznych przez wielu nieujawnionych podmiotów trzecich, uwierzytelnianiem na poziomie operatora bez widocznego powiadomienia oraz przepływem danych do systemów posiadających funkcje raportowania rządowego.

Mandaty ustawodawcze w ponad 25 stanach USA, Brazylii i Wielkiej Brytanii tworzą to, co dochodzenie określa mianem „obowiązkowego rynku" dla tych usług. Raport odnotowuje, że Meta wydała 26,3 miliona dolarów na lobbing związany z tym ustawodawstwem. Baza danych Serpro w Brazylii, zawierająca rekordy dotyczące około 220 milionów brazylijskich obywateli, jest wskazana jako element środowiska infrastrukturalnego, w którym działają te systemy weryfikacji.

Jako wyłaniający się obszar niepokoju wskazano zbieżność weryfikacji tożsamości z infrastrukturą agentów AI. Dochodzenie sugeruje, że weryfikacja tożsamości jest pozycjonowana jako warunek wstępny uczestnictwa w zautomatyzowanych transakcjach internetowych w ogólności – nie tylko w dostępie do treści z ograniczeniami wiekowymi.

Praktyczne wnioski

Czytelnicy, którzy chcą zrozumieć, w jakim stopniu są narażeni na działanie tej infrastruktury, mogą podjąć kilka praktycznych kroków.

Po pierwsze, należy zapoznać się z politykami prywatności i ujawnieniami dotyczącymi podprocesorów każdej platformy, która poprosiła o weryfikację tożsamości. Warto sprawdzić, czy wymienieni są w nich dostawcy rozpoznawania twarzy i usług uwierzytelniania operatorskiego.

Po drugie, należy mieć świadomość, że „weryfikacja wieku" na platformie nie oznacza, że dane pozostają wyłącznie u tej platformy. Weryfikacja oparta na SDK kieruje dane przez zewnętrzne systemy tożsamości, z których każdy ma własne zasady przechowywania i udostępniania danych.

Po trzecie, należy śledzić zmiany legislacyjne w swoim obszarze jurysdykcji. Przepisy wymagające weryfikacji wieku nakładają obowiązki prawne na platformy, co z kolei napędza adopcję infrastruktury opisanej w tym dochodzeniu. Zrozumienie, czego wymaga twój stan lub kraj, jest istotne dla rozeznania, jakie dane możesz być zobowiązany przekazać, aby korzystać z określonych usług online.

Pełne dochodzenie TBOTE Project, wraz z metodologią i dokumentami źródłowymi, jest publicznie dostępne. Ustalenia stanowią jedną z bardziej szczegółowych technicznie publicznych analiz branży weryfikacji wieku do tej pory, a pytania, które stawiają w kwestii ujawniania informacji, przepływów danych i strukturalnych konfliktów interesów, będą prawdopodobnie nadal badane przez regulatorów, dziennikarzy i badaczy prywatności.