Qual é a principal preocupação levantada pelo Projeto TBOTE sobre as leis de verificação de idade?

O Projeto TBOTE argumenta que a infraestrutura construída para cumprir as leis de verificação de idade funciona como um sistema de vigilância biométrica transfronteiriço, e não apenas como uma ferramenta de proteção de menores. O projeto documenta processadores de dados não divulgados, autenticação telefônica silenciosa e módulos de relatórios governamentais incorporados no código.

Qual é a conexão entre Peter Thiel e a coleta de dados descrita na investigação?

Peter Thiel cofundou a Palantir, que vende análises de vigilância para governos, enquanto sua empresa de capital de risco, o Founders Fund, é a principal investidora da Persona, uma empresa de verificação de identidade que captura dados biométricos. A investigação descreve isso como um nexo de "coleta e análise", no qual o mesmo acionista financeiro se beneficia dos dois lados do pipeline de dados.

Quais vulnerabilidades de segurança foram encontradas no SDK da Persona?

Os investigadores descobriram uma chave de criptografia AES codificada diretamente no SDK da Persona, que foi substituída após a divulgação da descoberta na versão 1.15.3. O SDK também não possuía fixação de certificado, uma medida de segurança padrão que impede a interceptação de dados em trânsito por ataques man-in-the-middle.

Os usuários foram notificados sobre a autenticação telefônica que ocorria durante as sessões de verificação da Persona?

Não. A investigação constatou que a Telesign realizou autenticação de rede silenciosa sem notificação ao usuário, e que a verificação telefônica em nível de operadora foi executada via Vonage sem o conhecimento explícito dos usuários.

Quais capacidades de relatório governamental foram encontradas no código-fonte vazado da Persona?

O código-fonte vazado da Persona supostamente contém módulos de relatórios governamentais construídos especificamente para o FinCEN e o FINTRAC, as unidades de inteligência financeira dos Estados Unidos e do Canadá, respectivamente.

As Leis de Verificação de Idade Estão Construindo uma Rede Global de Vigilância

As leis de verificação de idade estão se espalhando pelos Estados Unidos, Reino Unido e Brasil com o objetivo declarado de proteger menores online. Mas uma investigação técnica detalhada do Projeto TBOTE argumenta que a infraestrutura sendo montada para cumprir essas leis funciona como algo muito mais amplo: um sistema de vigilância biométrica transfronteiriço com processadores de dados não divulgados, autenticação telefônica silenciosa e módulos de relatórios governamentais incorporados diretamente no código.

A investigação, atualizada em abril de 2026, baseia-se em análise de DNS, descompilação de SDK, registros de transparência de certificados, registros corporativos e arquivos da SEC EDGAR. Todas as fontes citadas são públicas.

O Nexo Thiel: Um Investidor, Dois Lados do Pipeline de Dados

Uma das descobertas estruturais centrais da investigação diz respeito a Peter Thiel. Thiel cofundou a Palantir Technologies, empresa que vende análises de vigilância para governos e corporações em todo o mundo. Seu veículo de capital de risco, o Founders Fund, é também o principal investidor da Persona, uma empresa de verificação de identidade cujo SDK está incorporado em plataformas que vão do Roblox ao Robinhood.

O Projeto TBOTE descreve isso como um nexo de "coleta e análise": o mesmo acionista financeiro se beneficia tanto da captura de dados de identidade biométrica quanto das análises realizadas a partir desses dados. A investigação não alega coordenação entre a Persona e a Palantir no nível do produto, mas documenta a estrutura de propriedade compartilhada como um fato relevante que não é divulgado aos usuários que interagem com os fluxos de verificação da Persona.

O código-fonte vazado da Persona, revisado como parte da investigação, supostamente contém 269 verificações, 43 tipos de verificação e módulos de relatórios governamentais construídos para o FinCEN e o FINTRAC, as unidades de inteligência financeira dos Estados Unidos e do Canadá, respectivamente.

O Que a Análise Técnica Encontrou

A parte de descompilação do SDK da investigação produziu diversas descobertas específicas que vão além das preocupações padrão com privacidade.

Uma chave de criptografia AES codificada diretamente no SDK da Persona foi descoberta. A chave foi substituída na versão 1.15.3 após a divulgação da descoberta, sugerindo que o problema foi confirmado e corrigido. O SDK também não possuía fixação de certificado, uma medida de segurança padrão que impede a interceptação de dados em trânsito por ataques man-in-the-middle.

Sete serviços de análise simultâneos foram encontrados em execução durante uma sessão de verificação padrão. A Telesign, empresa com maioria acionária da Proximus — operadora de telecomunicações estatal belga —, foi identificada como responsável por realizar autenticação de rede silenciosa sem notificação ao usuário. A verificação telefônica em nível de operadora também foi encontrada em execução via Vonage sem o conhecimento explícito do usuário.

O componente de reconhecimento facial do sistema da Persona é alimentado pela Paravision, empresa classificada em primeiro lugar em uma avaliação de precisão biométrica do Departamento de Segurança Interna dos Estados Unidos. A Paravision não aparece na página de subprocessadores divulgados publicamente pela Persona, de acordo com a investigação. O Projeto TBOTE identificou 12 processadores de dados que descreve como não divulgados.

A enumeração de subdomínios de withpersona.com revelou 197 subdomínios, incluindo 65 ambientes de homologação que expuseram serviços internos de aprendizado de máquina, um banco de dados em grafo identificado como TigerGraph, e um gateway para a AAMVA, a Associação Americana de Administradores de Veículos Motorizados, que gerencia dados de carteiras de motorista em todos os estados americanos.

A investigação também documenta o LinkedIn executando quatro fornecedores separados de verificação de identidade simultaneamente, ao lado do que descreve como uma pilha paralela de vigilância chinesa no mesmo APK Android, incluindo integração de pontuação social do Sesame Credit, autenticação de operadora ShanYan e identificadores de dispositivos governamentais.

O Roblox, plataforma com grande número de usuários infantis, foi encontrado incorporando o SDK completo da Persona — incluindo funcionalidade de leitura de passaporte via NFC — dentro de um fluxo de verificação que os usuários supostamente não conseguem encerrar sem concluir.

O Que Isso Significa Para Você

A investigação do Projeto TBOTE não argumenta que a verificação de idade em si seja ilegítima. Seu argumento é mais específico: a infraestrutura sendo construída para implementar a verificação de idade possui capacidades técnicas e estruturas de propriedade que vão muito além de qualquer caso de uso isolado de controle de acesso por idade.

Para os usuários comuns da internet, isso significa que ao cumprir uma solicitação de verificação de idade em uma plataforma de jogos, uma rede social ou um site de conteúdo adulto, os dados biométricos podem estar sendo processados por múltiplos terceiros não divulgados, com autenticação em nível de operadora ocorrendo sem notificação visível, e dados fluindo para sistemas com funções de relatório governamental.

Mandatos legislativos em mais de 25 estados americanos, no Brasil e no Reino Unido estão criando o que a investigação chama de "mercado obrigatório" para esses serviços. O relatório observa que a Meta gastou 26,3 milhões de dólares em lobby relacionado a essa legislação. O banco de dados Serpro do Brasil, que contém registros de aproximadamente 220 milhões de cidadãos brasileiros, é identificado como parte do ambiente de infraestrutura no qual esses sistemas de verificação operam.

A convergência entre verificação de identidade e infraestrutura de agentes de inteligência artificial é apontada como uma preocupação emergente. A investigação sugere que a verificação de identidade está sendo posicionada como um pré-requisito para a participação em transações automatizadas na internet de forma mais ampla — não apenas para conteúdo com restrição de idade.

Medidas Práticas a Tomar

Os leitores que desejam compreender sua exposição a essa infraestrutura podem adotar algumas medidas práticas.

Primeiro, revise as políticas de privacidade e as divulgações de subprocessadores de qualquer plataforma que tenha solicitado a conclusão de uma verificação de identidade. Verifique se os fornecedores de reconhecimento facial e os serviços de autenticação por operadora estão listados.

Segundo, esteja ciente de que a "verificação de idade" em uma plataforma não significa que seus dados permanecerão nessa plataforma. A verificação baseada em SDK encaminha os dados por meio de sistemas de identidade de terceiros, cada um com suas próprias práticas de retenção e compartilhamento de dados.

Terceiro, acompanhe os desenvolvimentos legislativos em sua jurisdição. As leis que exigem verificação de idade criam obrigações legais para as plataformas, o que, por sua vez, impulsiona a adoção da infraestrutura descrita nesta investigação. Compreender o que seu estado ou país está exigindo é relevante para entender quais dados você pode ser obrigado a fornecer para utilizar determinados serviços online.

A investigação completa do Projeto TBOTE, incluindo sua metodologia e documentos-fonte, está disponível publicamente. As descobertas representam uma das análises públicas mais tecnicamente detalhadas do setor de verificação de idade até o momento, e as questões levantadas sobre divulgação, fluxos de dados e conflitos de interesse estruturais são aspectos que reguladores, jornalistas e pesquisadores de privacidade provavelmente continuarão examinando.