Hoe online leeftijdschecks een nutteloos privacyrisico vormen

Recent onderzoek legt een groot privacyprobleem bloot binnen digitale leeftijdsverificatie. Onderzoekers hebben namelijk de systemen van Yoti geanalyseerd. Dit is een gigantische speler op deze markt en verzorgt de checks voor grote platforms als Meta, Tiktok en Playstation.

In het onderzoek van Georgia Tech en UC Irvine komt naar voren dat Yoti goed is voor zo’n zestig procent van alle bekeken partijen. En de bevindingen zijn verontrustend: in plaats van een veilige, anonieme check, slurpt het systeem gevoelige, persoonlijke data op. Denk dan aan gezichtsscans, IP-adressen en device fingerprints, die belanden bij derde en vierde partijen.

De barman, maar dan anders

Je zou kunnen stellen dat een online leeftijdscheck in de basis niet anders is dan een barman die controleert of je wel oud genoeg bent voor een drankje. “In de praktijk is het echter alsof de barman je ID onder de kopieermachine legt en de scans direct doorstuurt naar al zijn leveranciers”, aldus onderzoeker Michael A. Specter, kun je lezen in Paper, Please (.pdf).

Wanneer websites de regels omtrent leeftijdsverificatie (zoals die al gelden in enkele Amerikaanse staten) handhaven, dwingen ze je in de armen van diensten als Yoti. Vervolgens belanden je gegevens bij databrokers, IP-geolocatiediensten en creditcardmaatschappijen, waardoor ze individuele apparaten moeiteloos kunnen identificeren en volgen over het hele web.