กฎหมายยืนยันอายุกำลังสร้างเครือข่ายการเฝ้าระวังระดับโลก
กฎหมายยืนยันอายุกำลังแพร่หลายไปทั่วสหรัฐอเมริกา สหราชอาณาจักร และบราซิล โดยมีเป้าหมายที่ประกาศอย่างเป็นทางการว่าเพื่อปกป้องผู้เยาว์บนโลกออนไลน์ แต่การตรวจสอบเชิงเทคนิคอย่างละเอียดโดย TBOTE Project โต้แย้งว่า โครงสร้างพื้นฐานที่ถูกสร้างขึ้นเพื่อปฏิบัติตามกฎหมายเหล่านี้ทำหน้าที่เป็นสิ่งที่ครอบคลุมกว้างขวางกว่ามาก นั่นคือระบบการเฝ้าระวังทางชีวมิติข้ามพรมแดน ซึ่งมีผู้ประมวลผลข้อมูลที่ไม่ได้เปิดเผย การยืนยันตัวตนทางโทรศัพท์อย่างเงียบๆ และโมดูลรายงานต่อภาครัฐที่ฝังตรงอยู่ในโค้ด
การสืบสวนดังกล่าว ซึ่งได้รับการอัปเดตในเดือนเมษายน 2569 อาศัยการวิเคราะห์ DNS การถอดรหัส SDK บันทึกความโปร่งใสของใบรับรอง บันทึกทะเบียนบริษัท และเอกสารจาก SEC EDGAR แหล่งข้อมูลทั้งหมดที่อ้างถึงเป็นข้อมูลสาธารณะ
เครือข่าย Thiel: นักลงทุนคนเดียว สองด้านของท่อส่งข้อมูล
หนึ่งในผลการค้นพบเชิงโครงสร้างที่สำคัญของการสืบสวนนี้เกี่ยวข้องกับ Peter Thiel Thiel ร่วมก่อตั้ง Palantir Technologies บริษัทที่จำหน่ายเครื่องมือวิเคราะห์การเฝ้าระวังให้กับรัฐบาลและองค์กรทั่วโลก นอกจากนี้ กองทุนร่วมลงทุนของเขาที่ชื่อ Founders Fund ยังเป็นนักลงทุนหลักใน Persona บริษัทยืนยันตัวตนที่มี SDK ฝังอยู่ในแพลตฟอร์มต่างๆ ตั้งแต่ Roblox ไปจนถึง Robinhood
TBOTE Project อธิบายสิ่งนี้ว่าเป็น "เครือข่ายการเก็บรวบรวมและวิเคราะห์" กล่าวคือ ผู้มีส่วนได้เสียทางการเงินรายเดียวกันได้รับประโยชน์ทั้งจากการจับเก็บข้อมูลชีวมิติและการวิเคราะห์ข้อมูลปลายทาง การสืบสวนไม่ได้กล่าวหาว่ามีการประสานงานระหว่าง Persona และ Palantir ในระดับผลิตภัณฑ์ แต่บันทึกโครงสร้างความเป็นเจ้าของร่วมกันในฐานะข้อเท็จจริงสำคัญที่ไม่ได้เปิดเผยต่อผู้ใช้ที่โต้ตอบกับขั้นตอนการยืนยันตัวตนของ Persona
ซอร์สโค้ดที่รั่วไหลของ Persona ซึ่งได้รับการตรวจสอบเป็นส่วนหนึ่งของการสืบสวน มีรายงานว่าประกอบด้วยการตรวจสอบ 269 รายการ ประเภทการยืนยัน 43 ประเภท และโมดูลรายงานต่อภาครัฐที่สร้างขึ้นสำหรับ FinCEN และ FINTRAC ซึ่งเป็นหน่วยข่าวกรองทางการเงินของสหรัฐอเมริกาและแคนาดาตามลำดับ
สิ่งที่การวิเคราะห์เชิงเทคนิคพบ
ส่วนการถอดรหัส SDK ของการสืบสวนผลิตผลการค้นพบเฉพาะหลายประการที่เกินกว่าข้อกังวลด้านความเป็นส่วนตัวมาตรฐาน
พบคีย์เข้ารหัส AES ที่ถูกฮาร์ดโค้ดไว้ใน Persona SDK คีย์ดังกล่าวถูกเปลี่ยนในเวอร์ชัน 1.15.3 หลังจากที่การค้นพบนี้ถูกเปิดเผย ซึ่งบ่งชี้ว่าปัญหาได้รับการยืนยันและแก้ไขแล้ว นอกจากนี้ SDK ยังขาด certificate pinning ซึ่งเป็นมาตรการความปลอดภัยมาตรฐานที่ป้องกันการดักจับข้อมูลระหว่างการส่งผ่านแบบ man-in-the-middle
พบบริการวิเคราะห์ที่ทำงานพร้อมกันเจ็ดรายการระหว่างการยืนยันตัวตนตามปกติ Telesign บริษัทที่ถือหุ้นส่วนใหญ่โดย Proximus ผู้ให้บริการโทรคมนาคมที่รัฐเบลเยียมเป็นเจ้าของ ถูกระบุว่าดำเนินการยืนยันตัวตนผ่านเครือข่ายอย่างเงียบๆ โดยไม่แจ้งให้ผู้ใช้ทราบ นอกจากนี้ยังพบว่ามีการยืนยันตัวตนทางโทรศัพท์ระดับผู้ให้บริการโดยใช้ Vonage โดยที่ผู้ใช้ไม่รับรู้โดยชัดแจ้ง
ส่วนประกอบการจดจำใบหน้าของระบบ Persona ขับเคลื่อนโดย Paravision บริษัทที่ได้รับการจัดอันดับที่หนึ่งในการประเมินความแม่นยำทางชีวมิติของกระทรวงความมั่นคงแห่งมาตุภูมิ ตามการสืบสวน Paravision ไม่ปรากฏในหน้าผู้ประมวลผลย่อยที่ Persona เปิดเผยต่อสาธารณะ TBOTE Project ระบุผู้ประมวลผลข้อมูล 12 รายที่อธิบายว่าไม่ได้เปิดเผย
การระบุ subdomain ของ withpersona.com เผยให้เห็น subdomain จำนวน 197 รายการ รวมถึงสภาพแวดล้อม staging 65 รายการที่เปิดเผยบริการ machine learning ภายใน ฐานข้อมูลกราฟที่ระบุว่าคือ TigerGraph และเกตเวย์ไปยัง AAMVA หรือสมาคมผู้บริหารยานยนต์แห่งอเมริกา ซึ่งจัดการข้อมูลใบอนุญาตขับขี่ทั่วทั้งรัฐในสหรัฐอเมริกา
การสืบสวนยังบันทึกว่า LinkedIn ใช้ผู้ให้บริการยืนยันตัวตนสี่รายพร้อมกัน ควบคู่กับสิ่งที่อธิบายว่าเป็นระบบการเฝ้าระวังจีนแบบคู่ขนานใน Android APK เดียวกัน รวมถึงการรวม Sesame Credit ระบบคะแนนทางสังคม การยืนยันตัวตนผ่านผู้ให้บริการ ShanYan และตัวระบุอุปกรณ์ของรัฐบาล
Roblox แพลตฟอร์มที่มีผู้ใช้เด็กจำนวนมาก ถูกพบว่าฝัง Persona SDK แบบเต็มรูปแบบรวมถึงฟังก์ชันการอ่านหนังสือเดินทาง NFC ไว้ในขั้นตอนการยืนยันตัวตนที่ผู้ใช้มีรายงานว่าไม่สามารถออกจากได้โดยไม่ต้องทำให้เสร็จสิ้น
ความหมายสำหรับคุณ
การสืบสวนของ TBOTE Project ไม่ได้โต้แย้งว่าการยืนยันอายุในตัวเองเป็นสิ่งที่ไม่ชอบธรรม ข้อโต้แย้งของพวกเขามีความเฉพาะเจาะจงมากกว่า นั่นคือ โครงสร้างพื้นฐานที่สร้างขึ้นเพื่อดำเนินการยืนยันอายุมีความสามารถทางเทคนิคและโครงสร้างความเป็นเจ้าของที่ขยายออกไปไกลเกินกว่าการใช้งานเพื่อจำกัดอายุเพียงอย่างเดียว
สำหรับผู้ใช้อินเทอร์เน็ตทั่วไป หมายความว่าการปฏิบัติตามคำขอยืนยันอายุบนแพลตฟอร์มเกม เครือข่ายสังคม หรือเว็บไซต์เนื้อหาสำหรับผู้ใหญ่ อาจเกี่ยวข้องกับข้อมูลชีวมิติที่ถูกประมวลผลโดยบุคคลที่สามที่ไม่ได้เปิดเผยหลายราย การยืนยันตัวตนระดับผู้ให้บริการที่เกิดขึ้นโดยไม่มีการแจ้งเตือนที่มองเห็นได้ และข้อมูลที่ไหลเข้าสู่ระบบที่มีฟังก์ชันรายงานต่อภาครัฐ
การบังคับใช้ทางกฎหมายในกว่า 25 รัฐของสหรัฐอเมริกา บราซิล และสหราชอาณาจักร กำลังสร้างสิ่งที่การสืบสวนเรียกว่า "ตลาดบังคับ" สำหรับบริการเหล่านี้ รายงานระบุว่า Meta ใช้จ่าย 26.3 ล้านดอลลาร์สำหรับการล็อบบี้ที่เกี่ยวข้องกับกฎหมายนี้ ฐานข้อมูล Serpro ของบราซิล ซึ่งเก็บบันทึกข้อมูลของพลเมืองบราซิลประมาณ 220 ล้านคน ถูกระบุว่าเป็นส่วนหนึ่งของสภาพแวดล้อมโครงสร้างพื้นฐานที่ระบบยืนยันตัวตนเหล่านี้ดำเนินการอยู่
การบรรจบกันของการยืนยันตัวตนกับโครงสร้างพื้นฐาน AI agent ถูกระบุว่าเป็นข้อกังวลที่กำลังเกิดขึ้น การสืบสวนชี้ให้เห็นว่าการยืนยันตัวตนกำลังถูกวางตำแหน่งให้เป็นเงื่อนไขเบื้องต้นสำหรับการมีส่วนร่วมในธุรกรรมอินเทอร์เน็ตอัตโนมัติในวงกว้าง ไม่ใช่แค่เนื้อหาที่จำกัดอายุเท่านั้น
ขั้นตอนที่ดำเนินการได้
ผู้อ่านที่ต้องการเข้าใจความเสี่ยงของตนเองต่อโครงสร้างพื้นฐานนี้สามารถดำเนินการปฏิบัติหลายขั้นตอน
ประการแรก ตรวจสอบนโยบายความเป็นส่วนตัวและการเปิดเผยผู้ประมวลผลย่อยของแพลตฟอร์มใดๆ ที่ขอให้คุณยืนยันตัวตน โปรดสังเกตว่ามีการระบุผู้ให้บริการจดจำใบหน้าและบริการยืนยันตัวตนผ่านผู้ให้บริการไว้หรือไม่
ประการที่สอง โปรดทราบว่า "การยืนยันอายุ" บนแพลตฟอร์มไม่ได้หมายความว่าข้อมูลของคุณจะอยู่กับแพลตฟอร์มนั้น การยืนยันตัวตนผ่าน SDK ส่งข้อมูลผ่านระบบตัวตนของบุคคลที่สาม ซึ่งแต่ละรายมีแนวทางปฏิบัติในการเก็บรักษาและแบ่งปันข้อมูลของตนเอง
ประการที่สาม ติดตามการพัฒนากฎหมายในเขตอำนาจศาลของคุณ กฎหมายที่กำหนดให้มีการยืนยันอายุสร้างภาระผูกพันทางกฎหมายสำหรับแพลตฟอร์ม ซึ่งส่งผลให้เกิดการนำโครงสร้างพื้นฐานที่อธิบายไว้ในการสืบสวนนี้มาใช้ การทำความเข้าใจว่ารัฐหรือประเทศของคุณกำหนดอะไรนั้นมีความเกี่ยวข้องกับการทำความเข้าใจว่าคุณอาจต้องส่งข้อมูลอะไรเพื่อใช้บริการออนไลน์บางอย่าง
การสืบสวนฉบับเต็มของ TBOTE Project รวมถึงระเบียบวิธีและเอกสารต้นฉบับ สามารถเข้าถึงได้สาธารณะ ผลการค้นพบดังกล่าวเป็นหนึ่งในการวิเคราะห์สาธารณะที่มีรายละเอียดทางเทคนิคมากที่สุดของอุตสาหกรรมการยืนยันอายุจนถึงปัจจุบัน และคำถามที่ตั้งขึ้นเกี่ยวกับการเปิดเผยข้อมูล การไหลของข้อมูล และความขัดแย้งทางผลประโยชน์เชิงโครงสร้าง เป็นสิ่งที่หน่วยงานกำกับดูแล นักข่าว และนักวิจัยด้านความเป็นส่วนตัวมีแนวโน้มที่จะตรวจสอบต่อไป
