A Facebook, az XBox vagy éppen a Playstation életkor-ellenőrzője minden adatod begyűjti
Cikk meghallgatása
A Yoti ma már az egyik legelterjedtebb korhatár‑ellenőrző megoldás: az ilyen ellenőrzést használó weboldalak és szolgáltatások legalább 60 százaléka erre a rendszerre támaszkodik. Olyan nagy szereplők is beépítik, mint a PlayStation, a Meta, a TikTok vagy bizonyos Xbox‑folyamatok. Ezek az oldalak maguk nem végzik el az életkor‑ellenőrzést, hanem API‑n vagy beágyazott felületen keresztül egyszerűen meghívják a Yoti rendszerét. De a kriptós ökoszisztémában is több platform használja-használta ezt a szolgáltatót, így többek között a PI Network vagy az Altme nevű, Web3‑as, decentralizált identitás‑ és SSI‑wallet.
Az elmúlt évek tapasztalatai alapján talán nem is meglepő, hogy egy friss kutatás szerint a Yoti jóval több adatot gyűjt a felhasználókról, mint ami az életkor megállapításához feltétlenül szükséges lenne. A Georgia Institute of Technology és a Kaliforniai Egyetem közös tanulmánya — Papers, Please: A First Look at Age Verification on the Web — május 18‑án jelent meg az IEEE Biztonság és Adatvédelem Szimpóziumán, és meglehetősen aggasztó képet fest a jelenlegi gyakorlatról.
A Yoti nem elég, hogy több adatot gyűjt, de azokat meg is osztja
A kutatók szerint a Yoti az ellenőrzési folyamat során olyan eszközadatokat is begyűjt, amelyeknek semmi közük a korbecsléshez: például az operációs rendszer verzióját, a rendelkezésre álló memória mennyiségét, a hálózati kapcsolat típusát vagy a processzor architektúráját. Ezek az egyedileg azonosítható információk akár arra is alkalmasak lehetnek, hogy a felhasználó eszközét engedély nélkül kövessék nyomon.
A legkomolyabb probléma azonban nem is ez, hanem az, hogy a Yoti érzékeny adatokat oszt meg több, a felhasználók számára teljesen ismeretlen negyedik féllel — köztük a Stripe fizetési szolgáltatóval. A Stripe jelentős mennyiségű telemetriai adatot gyűjt, amelyek önmagukban is elegendők lehetnek egy eszköz egyedi azonosításához, ráadásul ezek között olyan információk is szerepeltek, amelyeket a Yoti‑t használó weboldalaktól gyűjtöttek be.
A tanulmány megjelenése után a kutatók azt közölték, hogy a Yoti állítólag már javította azt a hibát, amely lehetővé tette a Stripe számára az elsődleges webhely azonosítását — de ezt függetlenül nem lehet ellenőrizni.
Az is elég rossz fényt vet a cégre, hogy az ügyet mindössze „egyszerű hibaként” kezelte, és semmilyen részletet nem árult el arról, hogyan és milyen biztonsági szinten kezelték a már begyűjtött adatokat. A legfontosabb kérdésre pedig továbbra sincs válasz: miért gyűjtött a Yoti ennyi, a korhatár‑ellenőrzéshez nem szükséges adatot.
Magyar felhasználóként sajnos nem sok mozgásterünk van. Ha felismerjük, hogy egy adott oldalon a Yoti végzi az életkor‑ellenőrzést, akkor megpróbálhatunk másik opciót választani — ahol van ilyen — vagy egyszerűen nem használjuk az adott szolgáltatást. Ez jelenleg nagyjából az egyetlen reális lehetőség. Az online biztonság és adatvédelem növeléséhez korábban itt adtunk néhány jó tippet.