Yaş Doğrulama Sistemlerindeki Gizli Gözetim Ağı Ortaya Çıktı

Yıllardır süregelen uyarılar, zorunlu yaş doğrulama sistemlerinin hassas biyometrik verilerden oluşan devasa "bal küpleri" (honeypot) oluşturduğunu ve bunların kaçınılmaz olarak ihlal edileceğini belirtiyordu. Bu sistemleri zorunlu kılan politikacılar ve onları inşa eden şirketler, milyonlarca insanın kimlik belgeleri, yüz taramaları ve biyometrik verilerinden oluşan büyük veri tabanları toplamanın bir güvenlik kabusu olduğunu her seferinde şaşkınlıkla karşılıyor. Yakın zamanda Discord'un "teen-by-default" ayarları için biyometrik tarama ile yaş doğrulaması talep etmesi, internet kullanıcıları arasında büyük tepki topladı. Ancak bazı güvenlik araştırmacıları, bu tepkiden daha fazlasını yaparak Discord'un Birleşik Krallık'taki kullanıcılar için kullandığı doğrulama şirketlerinden biri olan Persona'yı incelemeye aldı.

Araştırmacılar, Persona'nın San Francisco merkezli bir startup olduğunu ve ABD hükümeti tarafından yetkilendirilmiş bir sunucuda açık internete maruz kalmış bir ön yüz (frontend) bulduklarını keşfettiler. Bu sunucuda bulunan 2.456 adet herkese açık dosya, Persona yazılımının kullanıcılar üzerinde gerçekleştirdiği kapsamlı gözetimi gözler önüne serdi. Yazılım, sadece basit bir yaş kontrolü yapmakla kalmıyor, aynı zamanda yüz tanımayı finansal raporlama ile birleştiriyor ve federal kurumlar için tasarlanmış paralel bir uygulama içeriyor. Bir kullanıcı kimliğini Persona ile doğruladığında, yazılım 269 farklı doğrulama kontrolü gerçekleştiriyor; IP adresleri, tarayıcı ve cihaz parmak izleri, devlet kimlik numaraları, telefon numaraları, isimler, yüzler ve hatta selfie arka planları gibi bilgileri analiz edip üç yıla kadar saklıyor. Ayrıca, kullanıcıların yüzlerini "siyasi olarak maruz kalmış kişiler" (PEPs) ile eşleştirerek risk ve benzerlik skorları üretiyor. Bu durum, yaş doğrulama adı altında toplanan verilerin ne kadar geniş kapsamlı ve potansiyel olarak istilacı amaçlarla kullanılabileceğini gösteriyor.