报告:知名年龄验证软件 Yoti 因过度采集数据遭诟病
Yoti 是一家知名的数字年龄验证服务商,其服务已被 PlayStation、Meta 和 TikTok 等主流平台广泛集成。然而,一份名为《请出示证件:网络年龄验证初探》(Papers, Please: A First Look at Age Verification on the Web)的报告让该公司陷入了舆论漩涡。这项研究由佐治亚理工学院和加州大学伯克利分校共同完成,并于 5 月 18 日在 IEEE 安全与隐私研讨会上正式发布。
研究结果显示,Yoti 会从用户设备中采集高精度的遥测数据,包括操作系统版本字符串、可用内存(RAM)、连接类型以及 CPU 架构等。研究人员指出,这些细颗粒度的数据对于“估算用户年龄并非必要”,并警告称,这些信息足以构成独特的设备指纹,从而导致“在未经用户许可的情况下追踪其设备”。
除了年龄验证本身,报告还强调了用户数据被共享给“用户难以察觉的第四方”所带来的隐私风险。调查人员特别指出,支付处理商 Stripe 也是这些遥测数据的接收方之一。报告称,Stripe 在采集可能识别用户设备的数据的同时,还在抓取用户进行年龄验证时所在的原始网站信息。
针对上述研究发现,研究人员表示 Yoti 声称已解决了 Stripe 获取原始网站数据的问题。但研究人员同时指出,他们无法独立核实该修复措施是否已真正落实,也无法确认此前采集的数据是否已从系统中彻底清除。
据 Kotaku 报道,Yoti 将此次数据泄露定性为“程序漏洞”(bug)。这一回应引发了外界对该公司如何管理数百万用户隐私信息的进一步质疑。目前,全球约 60% 实施年龄验证协议的网站都在使用该软件,这不禁让人担忧,在安全与合规的幌子下,数据采集的规模究竟有多大。
