Care este principala preocupare ridicată de TBOTE Project cu privire la legile de verificare a vârstei?

TBOTE Project susține că infrastructura construită pentru a respecta legile de verificare a vârstei funcționează ca un sistem biometric de supraveghere transfrontalieră, nu doar ca un instrument de protecție a minorilor. Documentează procesatori de date nedivulgați, autentificare silențioasă prin telefon și module de raportare guvernamentală integrate în cod.

Care este legătura dintre Peter Thiel și colectarea de date descrisă în investigație?

Peter Thiel a co-fondat Palantir, care vinde servicii analitice de supraveghere guvernelor, în timp ce firma sa de capital de risc Founders Fund este principalul investitor în Persona, o companie de verificare a identității care captează date biometrice. Investigația descrie aceasta ca un nexus de „colectare și analiză" în care același acționar financiar beneficiază de ambele laturi ale fluxului de date.

Ce vulnerabilități de securitate au fost găsite în SDK-ul Persona?

Investigatorii au descoperit o cheie de criptare AES hardcodată în SDK-ul Persona, care a fost schimbată după divulgarea constatării în versiunea 1.15.3. SDK-ul era, de asemenea, lipsit de certificate pinning, o măsură de securitate standard care previne interceptarea datelor în tranzit prin atacuri de tip man-in-the-middle.

Au fost notificați utilizatorii cu privire la autentificarea telefonică care avea loc în timpul sesiunilor de verificare Persona?

Nu, investigația a constatat că Telesign a efectuat autentificare silențioasă în rețea fără notificarea utilizatorului, iar verificarea telefonică la nivel de operator a rulat prin Vonage fără conștientizarea explicită a utilizatorului.

Ce capacități de raportare guvernamentală au fost găsite în codul sursă scurs al Persona?

Codul sursă scurs al Persona ar conține, conform raportului, module de raportare guvernamentală construite special pentru FinCEN și FINTRAC, unitățile de informații financiare ale Statelor Unite și, respectiv, ale Canadei.

Legile de verificare a vârstei construiesc o rețea globală de supraveghere

Legile de verificare a vârstei se răspândesc în Statele Unite, Regatul Unit și Brazilia, cu scopul declarat de a proteja minorii online. Dar o investigație tehnică detaliată realizată de TBOTE Project susține că infrastructura asamblată pentru a respecta aceste legi funcționează ca ceva mult mai amplu: un sistem biometric de supraveghere transfrontalieră, cu procesatori de date nedivulgați, autentificare silențioasă prin telefon și module de raportare guvernamentală integrate direct în cod.

Investigația, actualizată în aprilie 2026, se bazează pe analize DNS, decompilare SDK, jurnale de transparență a certificatelor, registre corporative și dosare SEC EDGAR. Toate sursele citate sunt publice.

Nexusul Thiel: Un singur investitor, două laturi ale fluxului de date

Una dintre constatările structurale centrale ale investigației îl privește pe Peter Thiel. Thiel a co-fondat Palantir Technologies, o companie care vinde servicii analitice de supraveghere guvernelor și corporațiilor din întreaga lume. Vehiculul său de capital de risc, Founders Fund, este, de asemenea, principalul investitor în Persona, o companie de verificare a identității al cărei SDK este integrat în platforme care merg de la Roblox la Robinhood.

TBOTE Project descrie aceasta ca un nexus de „colectare și analiză": același acționar financiar beneficiază atât de captarea datelor biometrice de identitate, cât și de analiza ulterioară a acestor date. Investigația nu pretinde existența unei coordonări între Persona și Palantir la nivel de produs, însă documentează structura comună de proprietate ca un fapt material care nu este divulgat utilizatorilor care interacționează cu fluxurile de verificare ale Persona.

Codul sursă scurs al Persona, analizat în cadrul investigației, ar conține, conform raportului, 269 de verificări, 43 de tipuri de verificare și module de raportare guvernamentală construite pentru FinCEN și FINTRAC, unitățile de informații financiare ale Statelor Unite și, respectiv, ale Canadei.

Ce a descoperit analiza tehnică

Secțiunea de decompilare SDK a investigației a produs mai multe constatări specifice care depășesc preocupările standard legate de confidențialitate.

O cheie de criptare AES hardcodată a fost descoperită în SDK-ul Persona. Cheia a fost schimbată în versiunea 1.15.3 după ce constatarea a fost divulgată, sugerând că problema a fost confirmată și remediată. SDK-ul era, de asemenea, lipsit de certificate pinning, o măsură de securitate standard care previne interceptarea datelor în tranzit prin atacuri de tip man-in-the-middle.

Șapte servicii analitice care rulau simultan au fost identificate în cadrul unei sesiuni standard de verificare. Telesign, o companie deținută în majoritate de Proximus, operatorul de telecomunicații belgian deținut de stat, a fost identificată ca efectuând autentificare silențioasă în rețea fără notificarea utilizatorului. Verificarea telefonică la nivel de operator a fost, de asemenea, descoperită rulând prin Vonage fără conștientizarea explicită a utilizatorului.

Componenta de recunoaștere facială a sistemului Persona este alimentată de Paravision, o companie clasată pe primul loc într-o evaluare a acurateței biometrice realizată de Departamentul pentru Securitate Internă. Paravision nu apare pe pagina de subprocesatori divulgați public a Persona, conform investigației. TBOTE Project a identificat 12 procesatori de date pe care îi descrie ca nedivulgați.

Enumerarea subdomeniilor withpersona.com a relevat 197 de subdomenii, inclusiv 65 de medii de testare care expuneau servicii interne de învățare automată, o bază de date de tip graf identificată ca TigerGraph și un gateway către AAMVA, Asociația Americană a Administratorilor de Autovehicule, care gestionează datele permiselor de conducere în statele americane.

Investigația documentează, de asemenea, că LinkedIn rulează simultan patru furnizori diferiți de verificare a identității, alături de ceea ce descrie ca un stack paralel de supraveghere chineză în același APK Android, inclusiv integrarea scorului social Sesame Credit, autentificarea prin operator ShanYan și identificatori guvernamentali de dispozitive.

Roblox, o platformă cu o populație mare de utilizatori minori, a fost găsit integrând SDK-ul complet Persona, inclusiv funcționalitatea de citire a pașapoartelor prin NFC, într-un flux de verificare pe care utilizatorii, conform raportului, nu îl pot abandona fără a-l finaliza.

Ce înseamnă aceasta pentru tine

Investigația TBOTE Project nu susține că verificarea vârstei în sine este nelegitimă. Argumentul său este mai specific: infrastructura construită pentru a implementa verificarea vârstei are capacități tehnice și structuri de proprietate care se extind cu mult dincolo de orice caz de utilizare singular de restricționare pe criterii de vârstă.

Pentru utilizatorii obișnuiți de internet, aceasta înseamnă că respectarea unui prompt de verificare a vârstei pe o platformă de gaming, o rețea de socializare sau un site de conținut pentru adulți poate implica procesarea datelor biometrice de către mai mulți terți nedivulgați, autentificarea la nivel de operator care are loc fără notificare vizibilă și date care circulă în sisteme cu funcții de raportare guvernamentală.

Mandatele legislative din peste 25 de state americane, Brazilia și Regatul Unit creează ceea ce investigația numește o „piață obligatorie" pentru aceste servicii. Raportul notează că Meta a cheltuit 26,3 milioane de dolari în lobbying în legătură cu această legislație. Baza de date Serpro a Braziliei, care deține înregistrări pentru aproximativ 220 de milioane de cetățeni brazilieni, este identificată ca parte a mediului de infrastructură în care operează aceste sisteme de verificare.

Convergența verificării identității cu infrastructura agenților de inteligență artificială este semnalată ca o preocupare emergentă. Investigația sugerează că verificarea identității este poziționată ca o condiție prealabilă pentru participarea la tranzacțiile internet automatizate în general, nu doar pentru conținutul restricționat pe criterii de vârstă.

Concluzii practice

Cititorii care doresc să înțeleagă expunerea lor la această infrastructură pot lua câțiva pași practici.

În primul rând, examinați politicile de confidențialitate și divulgările de subprocesatori ale oricărei platforme care v-a solicitat să completați verificarea identității. Verificați dacă furnizorii de recunoaștere facială și serviciile de autentificare prin operator sunt enumerate.

În al doilea rând, fiți conștienți că „verificarea vârstei" pe o platformă nu înseamnă că datele dvs. rămân pe acea platformă. Verificarea bazată pe SDK direcționează datele prin sisteme de identitate ale terților, fiecare cu propriile practici de retenție și partajare a datelor.

În al treilea rând, urmăriți evoluțiile legislative din jurisdicția dvs. Legile care impun verificarea vârstei creează obligații legale pentru platforme, care la rândul lor stimulează adoptarea infrastructurii descrise în această investigație. Înțelegerea a ceea ce statul sau țara dvs. mandatează este relevantă pentru a înțelege ce date vi se poate solicita să trimiteți pentru a utiliza anumite servicii online.

Investigația completă a TBOTE Project, inclusiv metodologia și documentele sursă, este disponibilă public. Constatările reprezintă una dintre cele mai detaliate analize publice din punct de vedere tehnic ale industriei de verificare a vârstei de până acum, iar întrebările pe care le ridică privind divulgarea, fluxurile de date și conflictele de interese structurale sunt unele pe care autoritățile de reglementare, jurnaliștii și cercetătorii în domeniul confidențialității le vor continua probabil să le examineze.