Vad är den huvudsakliga oro som TBOTE Project lyfter fram angående ålderverifieringslagar?

TBOTE Project hävdar att den infrastruktur som byggs upp för att efterleva ålderverifieringslagar fungerar som ett gränsöverskridande biometriskt övervakningssystem – inte enbart som ett verktyg för att skydda minderåriga. Undersökningen dokumenterar icke-redovisade databehandlare, tyst telefonautentisering och statliga rapporteringsmoduler inbäddade i koden.

Vad är kopplingen mellan Peter Thiel och den datainsamling som beskrivs i undersökningen?

Peter Thiel var med och grundade Palantir, som säljer övervakningsanalys till regeringar, medan hans riskkapitalbolag Founders Fund är primärinvesterare i Persona, ett identitetsverifieringsföretag som samlar in biometriska uppgifter. Undersökningen beskriver detta som ett "insamlings- och analysnexus" där samma finansiella aktör gynnas av båda sidor av datapipelinen.

Vilka säkerhetsbrister hittades i Persona SDK?

Utredarna upptäckte en hårdkodad AES-krypteringsnyckel i Persona SDK, som roterades efter att fyndet offentliggjordes i version 1.15.3. SDK:n saknade också certifikatfästning, en standardsäkerhetsåtgärd som förhindrar man-in-the-middle-avlyssning av data under överföring.

Informerades användarna om den telefonautentisering som skedde under Personas verifieringssessioner?

Nej, undersökningen fann att Telesign utförde tyst nätverksautentisering utan användaravisering, och att autentisering på operatörsnivå skedde via Vonage utan att användarna uttryckligen informerades om detta.

Vilka statliga rapporteringskapaciteter hittades i Personas läckta källkod?

Personas läckta källkod innehåller enligt uppgift statliga rapporteringsmoduler byggda specifikt för FinCEN och FINTRAC – de finansiella underrättelseenheterna i USA respektive Kanada.

Ålderverifieringslagar bygger ett globalt övervakningsnätverk

Ålderverifieringslagar sprids över USA, Storbritannien och Brasilien med det uttalade målet att skydda minderåriga på nätet. Men en detaljerad teknisk undersökning genomförd av TBOTE Project hävdar att den infrastruktur som byggs upp för att efterleva dessa lagar fungerar som något mycket mer omfattande: ett gränsöverskridande biometriskt övervakningssystem med icke-redovisade databehandlare, tyst telefonautentisering och statliga rapporteringsmoduler inbakade direkt i koden.

Undersökningen, som uppdaterades i april 2026, bygger på DNS-analys, SDK-dekompilering, loggdata från certifikattransparens, företagsregisteruppgifter och SEC EDGAR-inlagor. Samtliga citerade källor är offentliga.

Thiel-nexuset: En investerare, två sidor av datapipelinen

Ett av undersökningens centrala strukturella fynd rör Peter Thiel. Thiel var med och grundade Palantir Technologies, ett företag som säljer övervakningsanalys till regeringar och företag världen över. Hans riskkapitalbolag, Founders Fund, är också primärinvesterare i Persona, ett identitetsverifieringsföretag vars SDK är inbäddat i plattformar som sträcker sig från Roblox till Robinhood.

TBOTE Project beskriver detta som ett "insamlings- och analysnexus": samma finansiella aktör gynnas av både inhämtningen av biometriska identitetsuppgifter och den efterföljande analysen av dessa uppgifter. Undersökningen påstår inte att det förekommer samordning mellan Persona och Palantir på produktnivå, men den dokumenterar den delade ägarstrukturen som ett väsentligt faktum som inte redovisas för användare som genomgår Personas verifieringsflöden.

Personas läckta källkod, som granskades som en del av undersökningen, innehåller enligt uppgift 269 verifieringskontroller, 43 verifieringstyper och statliga rapporteringsmoduler byggda för FinCEN och FINTRAC – de finansiella underrättelseenheterna i USA respektive Kanada.

Vad den tekniska analysen fann

SDK-dekompileringsdelen av undersökningen genererade flera specifika fynd som går bortom vanliga integritetsfrågor.

En hårdkodad AES-krypteringsnyckel upptäcktes i Persona SDK. Nyckeln roterades i version 1.15.3 efter att fyndet offentliggjordes, vilket tyder på att problemet bekräftades och åtgärdades. SDK:n saknade också certifikatfästning, en standardsäkerhetsåtgärd som förhindrar man-in-the-middle-avlyssning av data under överföring.

Sju samtidiga analystjänster konstaterades köras under en standardverifieringssession. Telesign, ett företag som till majoriteten ägs av Proximus – den belgiska statliga telekomoperatören – identifierades som utförare av tyst nätverksautentisering utan användaravisering. Autentisering på operatörsnivå av telefonnummer konstaterades också köras via Vonage utan att användarna uttryckligen informerades om detta.

Den ansiktsigenkänningskomponent som ingår i Personas system drivs av Paravision, ett företag som rankades som nummer ett i en biometrisk noggrannhetsutvärdering genomförd av Department of Homeland Security. Paravision förekommer inte på Personas offentligt redovisade sida över underbehandlare, enligt undersökningen. TBOTE Project identifierade 12 databehandlare som de beskriver som icke-redovisade.

Subdomänenumrering av withpersona.com avslöjade 197 subdomäner, däribland 65 testmiljöer som exponerade interna maskininlärningstjänster, en grafdatabas identifierad som TigerGraph samt en gateway till AAMVA – American Association of Motor Vehicle Administrators – som hanterar körkortsdata i amerikanska delstater.

Undersökningen dokumenterar också att LinkedIn kör fyra separata identitetsverifieringsleverantörer samtidigt, tillsammans med vad som beskrivs som ett parallellt kinesiskt övervakningssystem i samma Android APK, inklusive Sesame Credits integration för social poängsättning, ShanYans operatörsautentisering och statliga enhetsidentifierare.

Roblox, en plattform med ett stort antal barnanvändare, konstaterades bädda in hela Persona SDK:n – inklusive NFC-passinläsningsfunktionalitet – i ett verifieringsflöde som användare enligt uppgift inte kan lämna utan att slutföra det.

Vad detta innebär för dig

TBOTE Projects undersökning argumenterar inte för att ålderverifiering i sig är illegitim. Argumentet är mer specifikt: den infrastruktur som byggs upp för att genomföra ålderverifiering har tekniska kapaciteter och ägarstrukturer som sträcker sig långt bortom varje enskilt syfte med ålderskontroll.

För vanliga internetanvändare innebär detta att om man följer en uppmaning om ålderverifiering på en spelplattform, ett socialt nätverk eller en webbplats för vuxeninnehåll kan biometriska uppgifter komma att behandlas av flera icke-redovisade tredje parter, autentisering på operatörsnivå kan ske utan synlig avisering, och data kan flöda in i system med statliga rapporteringsfunktioner.

Lagstiftade krav i mer än 25 amerikanska delstater, i Brasilien och i Storbritannien skapar vad undersökningen kallar en "obligatorisk marknad" för dessa tjänster. Rapporten noterar att Meta spenderade 26,3 miljoner dollar på lobbyverksamhet i samband med denna lagstiftning. Brasiliens Serpro-databas, som innehåller uppgifter om ungefär 220 miljoner brasilianska medborgare, identifieras som en del av den infrastrukturmiljö i vilken dessa verifieringssystem verkar.

Konvergensen mellan identitetsverifiering och AI-agentinfrastruktur lyfts fram som en framväxande angelägenhet. Undersökningen antyder att identitetsverifiering håller på att positioneras som en förutsättning för deltagande i automatiserade internettransaktioner i stort – inte bara för åldersreglerat innehåll.

Konkreta slutsatser att ta med sig

Läsare som vill förstå sin exponering mot denna infrastruktur kan vidta flera praktiska åtgärder.

Granska först sekretesspolicyer och redovisningar av underbehandlare för alla plattformar som har bett dig genomföra identitetsverifiering. Notera om leverantörer av ansiktsigenkänning och operatörsautentiseringstjänster finns listade.

Var för det andra medveten om att "ålderverifiering" på en plattform inte innebär att dina uppgifter stannar hos den plattformen. SDK-baserad verifiering dirigerar data genom tredjepartsidentitetssystem, vart och ett med sina egna rutiner för datalagring och datadelning.

Följ för det tredje den lagstiftningsutveckling som sker i din jurisdiktion. Lagar som kräver ålderverifiering skapar rättsliga skyldigheter för plattformar, vilket i sin tur driver användningen av den infrastruktur som beskrivs i denna undersökning. Att förstå vad din delstat eller ditt land föreskriver är relevant för att förstå vilka uppgifter du kan bli tvungen att lämna ifrån dig för att använda vissa onlinetjänster.

TBOTE Projects fullständiga undersökning, inklusive dess metodik och källdokument, är offentligt tillgänglig. Fynden representerar en av de mer tekniskt detaljerade offentliga analyserna av ålderverifieringsbranschen hittills, och de frågor som väcks om redovisning, dataflöden och strukturella intressekonflikter är sådana som regulatorer, journalister och integritetsforskare sannolikt kommer att fortsätta granska.