Законы о верификации возраста создают глобальную сеть слежки

Законы о верификации возраста создают глобальную сеть слежки

Законы о верификации возраста распространяются по Соединённым Штатам, Великобритании и Бразилии под предлогом защиты несовершеннолетних в интернете. Однако детальное техническое расследование проекта TBOTE утверждает, что инфраструктура, создаваемая для соблюдения этих законов, функционирует как нечто значительно более широкое: трансграничная биометрическая система слежки с нераскрытыми обработчиками данных, скрытой аутентификацией по телефону и встроенными непосредственно в код модулями отчётности для государственных органов.

Расследование, обновлённое в апреле 2026 года, основано на DNS-анализе, декомпиляции SDK, журналах прозрачности сертификатов, записях корпоративных реестров и документах из базы SEC EDGAR. Все упомянутые источники находятся в открытом доступе.

Связь с Тилем: один инвестор — по обе стороны конвейера данных

Одна из ключевых структурных находок расследования касается Питера Тиля. Тиль является сооснователем Palantir Technologies — компании, продающей аналитические инструменты слежки правительствам и корпорациям по всему миру. Его венчурный инструмент, Founders Fund, также является основным инвестором в Persona — компанию по верификации личности, чей SDK встроен в платформы от Roblox до Robinhood.

Проект TBOTE описывает это как связку «сбора и анализа»: один и тот же финансовый участник получает выгоду как от захвата биометрических данных личности, так и от последующей аналитики, проводимой на их основе. Расследование не утверждает о координации между Persona и Palantir на уровне продуктов, однако документирует общую структуру владения как существенный факт, который не раскрывается пользователям, взаимодействующим с процессами верификации Persona.

Утёкший исходный код Persona, изученный в рамках расследования, предположительно содержит 269 проверочных процессов, 43 типа верификации и модули отчётности для государственных органов, созданные для FinCEN и FINTRAC — подразделений финансовой разведки США и Канады соответственно.

Что выявил технический анализ

Часть расследования, посвящённая декомпиляции SDK, дала несколько конкретных результатов, выходящих за рамки стандартных проблем конфиденциальности.

В SDK Persona был обнаружен жёстко закодированный ключ шифрования AES. Ключ был сменён в версии 1.15.3 после раскрытия этой находки, что свидетельствует о том, что проблема была подтверждена и устранена. В SDK также отсутствовала привязка сертификата — стандартная мера безопасности, предотвращающая перехват данных в пути методом «человек посередине».

В ходе стандартной сессии верификации было обнаружено семь одновременно работающих аналитических служб. Было установлено, что Telesign — компания, контрольным пакетом акций которой владеет Proximus, бельгийский государственный телекоммуникационный оператор, — выполняет скрытую сетевую аутентификацию без уведомления пользователя. Также было обнаружено, что верификация телефона на уровне оператора осуществляется через Vonage без явного ведома пользователя.

Компонент распознавания лиц в системе Persona работает на основе технологий Paravision — компании, занявшей первое место в оценке биометрической точности Министерства внутренней безопасности США. По данным расследования, Paravision не фигурирует на странице публично раскрытых субпроцессоров Persona. Проект TBOTE выявил 12 обработчиков данных, которых он квалифицирует как нераскрытых.

Перечисление поддоменов withpersona.com выявило 197 поддоменов, в том числе 65 тестовых сред, открывавших внутренние сервисы машинного обучения, графовую базу данных, идентифицированную как TigerGraph, и шлюз к AAMVA — Американской ассоциации администраторов автотранспортных средств, управляющей данными водительских удостоверений по всем штатам США.

В расследовании также задокументировано, что LinkedIn одновременно использует четыре отдельных вендора верификации личности, а в том же APK-файле для Android присутствует то, что авторы описывают как параллельный китайский стек слежки, включающий интеграцию с системой социального рейтинга Sesame Credit, оператором аутентификации ShanYan и государственными идентификаторами устройств.

Выяснилось, что Roblox — платформа с большой аудиторией детей — встраивает полный SDK Persona, включая функцию считывания паспортов по NFC, в процесс верификации, который пользователи, по имеющимся данным, не могут покинуть, не завершив его.

Что это означает для вас

Расследование проекта TBOTE не утверждает, что верификация возраста как таковая незаконна. Его аргумент более конкретен: создаваемая для реализации верификации возраста инфраструктура обладает техническими возможностями и структурами владения, далеко выходящими за рамки любого отдельного сценария ограничения доступа по возрасту.

Для рядовых пользователей интернета это означает, что выполнение запроса на верификацию возраста на игровой платформе, в социальной сети или на сайте для взрослых может предполагать обработку биометрических данных несколькими нераскрытыми третьими сторонами, осуществление аутентификации на уровне оператора без видимого уведомления и передачу данных в системы с функциями отчётности перед государственными органами.

Законодательные мандаты более чем в 25 штатах США, в Бразилии и Великобритании формируют то, что расследование называет «обязательным рынком» для подобных услуг. В докладе отмечается, что Meta потратила 26,3 миллиона долларов на лоббирование в связи с этим законодательством. База данных Serpro Бразилии, хранящая сведения примерно о 220 миллионах бразильских граждан, определена как часть инфраструктурной среды, в которой функционируют эти системы верификации.

Конвергенция верификации личности с инфраструктурой агентов искусственного интеллекта обозначена как нарастающая проблема. Расследование предполагает, что верификация личности позиционируется как обязательное условие для участия в автоматизированных интернет-транзакциях в целом, а не только для доступа к контенту с возрастными ограничениями.

Практические выводы

Читатели, желающие оценить свою причастность к этой инфраструктуре, могут предпринять несколько практических шагов.

Во-первых, ознакомьтесь с политиками конфиденциальности и раскрытием информации о субпроцессорах любой платформы, которая запрашивала у вас верификацию личности. Обратите внимание, упоминаются ли там вендоры распознавания лиц и службы аутентификации через оператора связи.

Во-вторых, имейте в виду, что «верификация возраста» на платформе не означает, что ваши данные остаются на этой платформе. Верификация на основе SDK направляет данные через сторонние системы идентификации, каждая из которых имеет собственную политику хранения и передачи данных.

В-третьих, следите за законодательными изменениями в вашей юрисдикции. Законы, требующие верификации возраста, создают юридические обязательства для платформ, что в свою очередь стимулирует внедрение инфраструктуры, описанной в данном расследовании. Понимание того, что обязывает ваш штат или страна, важно для понимания того, какие данные вам может потребоваться предоставить для использования определённых онлайн-сервисов.

Полное расследование проекта TBOTE, включая методологию и исходные документы, находится в открытом доступе. Полученные результаты представляют собой один из наиболее технически детализированных публичных анализов индустрии верификации возраста на сегодняшний день, а поднятые в нём вопросы о раскрытии информации, потоках данных и структурных конфликтах интересов, по всей видимости, продолжат изучаться регуляторами, журналистами и исследователями в области конфиденциальности.