Yoti, aldersverifiseringsprogramvaren som brukes av “60 prosent” av nettsteder og tjenester som krever aldersverifisering, inkludert PlayStation, Meta og TikTok, påstås å “innhente betydelig privat informasjon utover det som strengt er nødvendig for å verifisere alder” og til og med dele nevnte informasjon med “flere mindre synlige fjerdeparter,” ifølge en rapport fra Georgia Institute of Technology og University of California.
Som Futurity har påpekt, ble rapporten, tittelen “Papers, Please: A First Look at Age Verification on the Web,” nylig presentert på IEEE Symposium on Security and Privacy-konferansen den 18. mai, og hevder at Yoti sin innsamling av data “maler et bekymringsfullt bilde av personvern og effektiviteten av aldersverifisering.”
I følge rapporten “innhenter” Yoti sin aldersverifiseringsprogramvare “en betydelig mengde høyoppløselig data om brukerens enhet” under kontrollene, selv om nevnte informasjon ikke ser ut til å være “nødvendig i å anslå en brukers alder.” Dette inkluderer spesielt informasjon som samles inn fra enheten under aldersverifiseringsprosessen, slik som “OS-versjonsstrenger, tilgjengelig RAM, tilkoblingstype og CPU-arkitektur.” Rapporten sier også at den “unikbart identifiserbare” informasjonen kan brukes til å tillate “uautorisert sporing av brukerens enhet.”
Imidlertid er den mest bekymringsfulle oppdagelsen “at Yoti er avhengig av å dele sensitiv brukerinformasjon med flere mindre synlige fjerdeparter,” inkludert betalingsbehandleren Stripe. Papiret bemerker at Stripe “samler betydelig telemetri som sannsynligvis kan brukes til å identifisere en enhet unikt,” noe som inkluderer informasjon som er samlet inn fra førsteparts-nettstedet som brukes til å verifisere brukerens alder via Yoti sin programvare: “Vi finner at tjenesten samler betydelig privat informasjon utover det som strengt tatt er nødvendig for å verifisere alder, inkludert høynentropi-nettleser- og enhetsmetadata, og annen granulær telemetri.”
Imidlertid, siden rapporten først ble publisert, har forskerne bak artikkelen oppgitt at “Yoti har indikert at de har rettet problemet med Stripe som får tilgang til førstepartei-nettstedet,” selv om forskerne også bemerker at de ikke kunne bekrefte gyldigheten av denne påstanden.
Det i seg selv skaper et helt separat problem. Det faktum at nevnte problem ble omtalt som en “bug” av Yoti fyller ikke med tillit til programvaren, og får meg til å lure på hvor trygt dataene brukerne gir den blir håndtert. Det forklarer heller ikke om dataene som ble gitt til Stripe fortsatt er lagret eller ikke.
