בשנים האחרונות, ענקיות הטכנולוגיה והגיימינג מתמודדות עם לחץ הולך וגובר מצד רגולטורים ברחבי העולם להגן על קטינים ברשת. הפתרון הפשוט לכאורה שהן מצאו הוא שילוב מערכות אימות גיל דיגיטליות, שאמורות לוודא שמי שמנסה להיכנס למשחק ברשת או לרשת חברתית אכן עומד בדרישות הגיל. אך מה קורה כאשר הפתרון שאמור להגן על המשתמשים הופך בעצמו לאיום הגדול ביותר על הפרטיות שלהם?
דו"ח מחקרי חדש ומדאיג חושף כי מערכת אימות הגיל הפופולרית Yoti, שנמצאת בשימוש של כמה מהפלטפורמות הגדולות ביותר בעולם כמו PlayStation, Meta ו-TikTok, היא למעשה "בלגן שלם" בכל הנוגע לשמירה על פרטיות המשתמשים. לפי הממצאים, המערכת אוספת מידע רגיש ומיותר לחלוטין, ואף משתפת אותו עם צדדים רביעיים שאינם גלויים לעין המשתמש הממוצע.
המחקר שחשף את מאחורי הקלעים של "נא להציג תעודות"
המחקר החדש, שנושא את השם האירוני "Papers, Please: A First Look at Age Verification on the Web", הוצג לאחרונה בכנס האבטחה היוקרתי IEEE Symposium on Security and Privacy על ידי חוקרים מ-Georgia Institute of Technology ומ-University of California. החוקרים החליטו לבחון מקרוב כיצד פועלות מערכות אימות הגיל המודרניות, והתוצאות שהם גילו רחוקות מלהיות מעודדות.
חברת Yoti נחשבת למונופול כמעט מוחלט בתחום, כאשר היא חולשת על כ-60% מהאתרים והשירותים הדורשים אימות גיל ברשת. בין הלקוחות הגדולים ביותר שלה ניתן למצוא את קונסולת ה-PlayStation של Sony, את הרשתות החברתיות של Meta (כמו אינסטגרם ופייסבוק), ואת פלטפורמת הסרטונים המובילה TikTok. המשמעות היא שכמעט כל גיימר או משתמש ברשתות החברתיות נתקל במערכת הזו בשלב כזה או אחר.
לפי הדו"ח, שיטות איסוף הנתונים של החברה "מציירות תמונה מדאיגה מאוד בנוגע לפרטיות וליעילות של הליכי אימות הגיל". החוקרים גילו כי המערכת אוספת כמות עצומה של מידע טכני ברזולוציה גבוהה על המכשיר שממנו מתבצעת הבדיקה, מידע שאינו קשור בשום צורה להערכת גילו של המשתמש.
למה המערכת צריכה לדעת כמה RAM יש לכם במחשב?
כאשר גיימר נדרש לאמת את גילו כדי לרכוש משחק ב-PlayStation Store או כדי לפתוח חשבון ב-Meta Quest, הוא מצפה שהמערכת תבדוק את תעודת הזהות שלו או תבצע סריקת פנים מהירה ותמשיך הלאה. בפועל, הדו"ח חושף כי Yoti אוספת נתונים מפורטים על החומרה שלכם בזמן התהליך. נתונים אלו כוללים את גרסת מערכת ההפעלה המדויקת, נפח ה-RAM הפנוי במכשיר, סוג החיבור לאינטרנט ואפילו את ארכיטקטורת המעבד (CPU).
מדובר בפרטי מידע ספציפיים וייחודיים, אשר שילוב שלהם מאפשר ליצור "טביעת אצבע דיגיטלית" (Device Fingerprinting) של המכשיר שלכם. טכניקה זו מאפשרת לחברות לעקוב אחרי המשתמשים ברחבי הרשת ללא אישורם, גם אם הם משתמשים בחוסמי פרסומות או מנסים לשמור על אנונימיות. השאלה הגדולה שעולה מהמחקר היא פשוטה: לשם מה חברה שכל תפקידה הוא לקבוע האם המשתמש מעל גיל 18 צריכה לדעת איזה מעבד מותקן אצלו במחשב או בטלפון?
השותפים הסמויים: לאן המידע שלכם באמת זורם?
אם איסוף המידע העודף על ידי Yoti עצמה אינו מספיק, התגלית המטרידה ביותר במחקר נוגעת לחברות צד רביעי. החוקרים גילו כי המערכת משתפת מידע רגיש עם שירותים חיצוניים שאינם גלויים למשתמש הקצה, ובראשם ענקית סליקת התשלומים Stripe. שיתוף הפעולה הזה תמוה במיוחד, בהתחשב בכך שאימות גיל לרוב אינו כרוך בתשלום כלשהו מצד המשתמש.
לפי ממצאי הדו"ח, Stripe אוספת נתוני טלמטריה נרחבים שיכולים לשמש לזיהוי חד-ערכי של המכשיר. החוקרים מציינים כי השירות אוסף מטא-דאטה מורכב מהדפדפן ומהמכשיר, כולל מידע מאתר המקור (האתר שממנו הופנה המשתמש לביצוע אימות הגיל). המשמעות היא שגופים פיננסיים גדולים מקבלים גישה למידע על הרגלי הגלישה והגיימינג שלכם, ללא ידיעתכם המלאה.
"זה היה רק באג" – האם אפשר לסמוך על ההסברים של החברות?
בעקבות פרסום הממצאים הראשוניים של המחקר, מיהרה חברת Yoti להגיב וטענה בפני החוקרים כי הנושא נפתר. לפי החברה, שיתוף המידע עם Stripe לגבי אתר המקור ממנו הגיע המשתמש היה בסך הכל "באג" שהיה קיים במערכת ותוקן מאז. עם זאת, החוקרים שפרסמו את הדו"ח הדגישו כי לא הייתה להם דרך עצמאית לאמת את הטענה הזו ולבדוק האם התיקון אכן בוצע בהצלחה.
העובדה שחולשת אבטחה כה משמעותית, שחשפה מידע רגיש של מיליוני משתמשים לחברה חיצונית, מוגדרת כלא יותר מ"באג", מעוררת סימני שאלה קשים. גיימרים רבים תוהים כעת כיצד החברות הללו שומרות על המידע האישי שלהם, והאם המידע שכבר נאסף ונשלח ל-Stripe נמחק או שהוא עדיין שמור בשרתי החברה לצרכים עתידיים.
עבור קהילת הגיימרים וחובבי הטכנולוגיה, מדובר בתזכורת כואבת לכך שבעולם המודרני, המוצרים שנועדו להגן עלינו הופכים לעיתים קרובות לכלי מעקב מתוחכמים. בפעם הבאה שתתבקשו לאמת את הגיל שלכם כדי לשחק בכותר החדש של PlayStation או כדי להיכנס ל-VR של Meta, כדאי שתזכרו שהמחיר שאתם משלמים עשוי להיות גבוה בהרבה ממה שחשבתם.
התחבר כדי להגיב