Yaş Doğrulama Yasaları Küresel Bir Gözetim Ağı İnşa Ediyor

Yaş Doğrulama Yasaları Küresel Bir Gözetim Ağı İnşa Ediyor

Yaş doğrulama yasaları, çevrimiçi ortamda küçükleri koruma amacıyla Amerika Birleşik Devletleri, Birleşik Krallık ve Brezilya'da hızla yayılıyor. Ancak TBOTE Projesi'nin yürüttüğü ayrıntılı teknik bir soruşturma, bu yasalara uymak için kurulan altyapının çok daha kapsamlı bir işlev gördüğünü ileri sürüyor: açıklanmamış veri işleyicileri, sessiz telefon kimlik doğrulaması ve doğrudan koda yerleştirilmiş devlet raporlama modülleriyle işleyen, sınır ötesi bir biyometrik gözetim sistemi.

Nisan 2026'da güncellenen soruşturma; DNS analizi, SDK ayrıştırması, sertifika şeffaflık günlükleri, şirket sicil kayıtları ve SEC EDGAR dosyalarına dayanıyor. Atıfta bulunulan tüm kaynaklar kamuya açıktır.

Thiel Bağlantısı: Veri Hattının İki Yakasında Tek Bir Yatırımcı

Soruşturmanın ortaya koyduğu temel yapısal bulgulardan biri Peter Thiel'e ilişkindir. Thiel, dünya genelinde hükümetlere ve şirketlere gözetim analitiği satan Palantir Technologies'in kurucu ortaklarından biridir. Risk sermayesi aracı olan Founders Fund ise Roblox'tan Robinhood'a kadar pek çok platformun bünyesine entegre edilmiş kimlik doğrulama şirketi Persona'nın birincil yatırımcısıdır.

TBOTE Projesi bunu bir "toplama ve analiz" bağlantısı olarak tanımlamaktadır: aynı finansal paydaş hem biyometrik kimlik verilerinin ele geçirilmesinden hem de bu verilerin aşağı akış analitiğinden fayda sağlamaktadır. Soruşturma, Persona ile Palantir arasında ürün düzeyinde bir koordinasyon bulunduğunu iddia etmemekle birlikte, ortak mülkiyet yapısını, Persona'nın doğrulama akışlarıyla etkileşime giren kullanıcılara açıklanmayan maddi bir olgu olarak belgelemektedir.

Soruşturma kapsamında incelenen Persona'nın sızdırılan kaynak kodunun; 269 doğrulama denetimi, 43 doğrulama türü ve sırasıyla Amerika Birleşik Devletleri ile Kanada'nın mali istihbarat birimleri olan FinCEN ve FINTRAC için hazırlanmış devlet raporlama modülleri içerdiği belirtilmektedir.

Teknik Analizin Bulguları

Soruşturmanın SDK ayrıştırma bölümü, standart gizlilik kaygılarının ötesine geçen birkaç somut bulgu ortaya koymuştur.

Persona SDK'sında sabit kodlanmış bir AES şifreleme anahtarı tespit edilmiştir. Bulgular açıklandıktan sonra anahtar, 1.15.3 sürümünde yenilenerek sorunun doğrulandığı ve giderildiği anlaşılmıştır. Bunun yanı sıra SDK'da, aktarım sırasında veri ele geçirilmesini önleyen standart bir güvenlik önlemi olan sertifika sabitleme de bulunmamaktaydı.

Standart bir doğrulama oturumu sırasında eş zamanlı çalışan yedi ayrı analitik hizmet saptanmıştır. Belçika'ya ait devlet telekom operatörü Proximus'un çoğunluk hissesine sahip olduğu şirket Telesign'ın, kullanıcıya bildirimde bulunmaksızın sessiz ağ kimlik doğrulaması gerçekleştirdiği tespit edilmiştir. Operatör düzeyinde telefon doğrulamasının ise kullanıcılar açıkça bilgilendirilmeksizin Vonage aracılığıyla çalıştırıldığı da saptanmıştır.

Persona'nın sistemindeki yüz tanıma bileşeni, ABD İç Güvenlik Bakanlığı'nın biyometrik doğruluk değerlendirmesinde birinci sıraya yerleşen Paravision tarafından güçlendirilmektedir. Soruşturmaya göre Paravision, Persona'nın kamuya açık alt işleyiciler sayfasında yer almamaktadır. TBOTE Projesi, açıklanmamış olarak nitelendirdiği 12 veri işleyiciyi kayıt altına almıştır.

withpersona.com alan adının alt alan adı taraması; iç makine öğrenimi hizmetlerini açığa çıkaran 65 hazırlık ortamı, TigerGraph olarak tanımlanan bir grafik veritabanı ve ABD eyaletlerindeki sürücü belgesi verilerini yöneten Amerikan Motorlu Taşıt Yöneticileri Birliği (AAMVA) ağ geçidini de kapsayan 197 alt alan adı ortaya çıkarmıştır.

Soruşturma ayrıca LinkedIn'in aynı Android APK içindeki paralel bir Çin gözetim katmanının yanı sıra; Sesame Credit sosyal puanlama entegrasyonu, ShanYan operatör kimlik doğrulaması ve devlet cihaz tanımlayıcıları dahil olmak üzere dört ayrı kimlik doğrulama sağlayıcısını eş zamanlı olarak çalıştırdığını belgelemektedir.

Küçük kullanıcı kitlesine sahip bir platform olan Roblox'un, kullanıcıların tamamlamadan çıkamadığı bildirilen bir doğrulama akışının içinde NFC pasaport okuma işlevini de barındıran tam Persona SDK'sını yerleştirdiği tespit edilmiştir.

Bu Bulgular Sizin İçin Ne Anlama Geliyor?

TBOTE Projesi'nin soruşturması, yaş doğrulamasının meşru olmadığını savunmamaktadır. Öne sürülen argüman daha spesifiktir: yaş doğrulamasını hayata geçirmek için inşa edilen altyapı, tek bir yaş engelleme kullanım senaryosunun çok ötesine geçen teknik kapasitelere ve mülkiyet yapılarına sahiptir.

Sıradan internet kullanıcıları açısından bu durum şu anlama gelmektedir: bir oyun platformunda, sosyal ağda ya da yetişkin içerik sitesinde karşılaşılan bir yaş doğrulama istemine uymak; biyometrik verilerin açıklanmamış birden fazla üçüncü tarafça işlenmesini, görünür bir bildirim olmaksızın operatör düzeyinde kimlik doğrulamasının gerçekleşmesini ve verilerin devlet raporlama işlevleri bulunan sistemlere akmasını beraberinde getirebilir.

ABD'nin 25'ten fazla eyaletinde, Brezilya'da ve Birleşik Krallık'ta yürürlüğe giren yasal zorunluluklar, soruşturmanın "zorunlu piyasa" olarak adlandırdığı bir ortam yaratmaktadır. Rapor, Meta'nın bu mevzuatla bağlantılı olarak 26,3 milyon dolar lobi harcaması yaptığını vurgulamaktadır. Yaklaşık 220 milyon Brezilya vatandaşının kayıtlarını barındıran Brezilya'nın Serpro veritabanı ise bu doğrulama sistemlerinin faaliyet gösterdiği altyapı ortamının bir parçası olarak tanımlanmaktadır.

Kimlik doğrulamasının yapay zeka ajan altyapısıyla yakınlaşması, giderek önem kazanan bir endişe kaynağı olarak öne çıkarılmaktadır. Soruşturma, kimlik doğrulamasının yalnızca yaş kısıtlamalı içerikler için değil, daha geniş bir çerçevede otomatik internet işlemlerine katılımın ön koşulu olarak konumlandırıldığını ileri sürmektedir.

Uygulanabilir Çıkarımlar

Bu altyapıya ne ölçüde maruz kaldığını anlamak isteyen okuyucular birkaç pratik adım atabilir.

Öncelikle, kimlik doğrulaması yapmanızı isteyen herhangi bir platformun gizlilik politikalarını ve alt işleyici açıklamalarını inceleyin. Yüz tanıma sağlayıcılarının ve operatör kimlik doğrulama hizmetlerinin listede yer alıp almadığına dikkat edin.

İkinci olarak, bir platformdaki "yaş doğrulaması"nın verilerinizin yalnızca o platformda kalacağı anlamına gelmediğinin farkında olun. SDK tabanlı doğrulama, verileri her birinin kendine ait veri saklama ve paylaşım uygulamaları bulunan üçüncü taraf kimlik sistemleri üzerinden yönlendirmektedir.

Üçüncü olarak, bulunduğunuz bölgedeki yasal gelişmeleri takip edin. Yaş doğrulamasını zorunlu kılan yasalar platformlara hukuki yükümlülükler doğurur; bu da söz konusu soruşturmada ele alınan altyapının benimsenmesini hızlandırır. Devletinizin ya da ülkenizin neyi zorunlu kıldığını anlamak, belirli çevrimiçi hizmetleri kullanmak için hangi verileri sunmanız gerekebileceğini kavramak açısından son derece önemlidir.

Metodolojisi ve kaynak belgeleri dahil TBOTE Projesi'nin tam soruşturması kamuya açık olarak erişilebilir durumdadır. Bulgular, yaş doğrulama sektörünün bugüne dek yürütülmüş teknik açıdan en kapsamlı kamuya açık analizlerinden birini oluşturmaktadır; açıklama, veri akışları ve yapısal çıkar çatışmalarına ilişkin gündeme getirilen sorular, düzenleyici kurumların, gazetecilerin ve gizlilik araştırmacılarının incelemeye devam etmesi kuvvetle muhtemel konular arasında yer almaktadır.