Lansarea aplicației europene de verificare a vârstei a declanșat rapid o controversă majoră, după ce mai mulți experți în securitate cibernetică au afirmat că au identificat vulnerabilități grave și probleme de protecție a datelor. Deși Comisia Europeană susține că instrumentul este „pregătit din punct de vedere tehnic”, specialiștii avertizează că actuala versiune ridică riscuri semnificative pentru confidențialitatea utilizatorilor și poate fi ocolită sau exploatată cu ușurință, conform Politico
Experți în securitate cibernetică afirmă că au descoperit breșe în aplicația de verificare a vârstei lansată de Bruxelles, în ciuda afirmațiilor executivului european potrivit cărora aceasta este „pregătită din punct de vedere tehnic”.
La doar câteva ore după lansarea aplicației UE, consultantul în securitate Paul Moore a descoperit că aceasta stochează date sensibile pe telefonul utilizatorului și le lasă neprotejate. | Sina Schuldt/picture alliance via Getty Images
Lansarea de către Uniunea Europeană a unei aplicații mobile pentru verificarea vârstei online a degenerat rapid într-o controversă, după ce experți în securitate cibernetică au identificat probleme grave de confidențialitate și securitate în codul sursă.
Președinta Comisiei Europene, Ursula von der Leyen, a prezentat miercuri la Bruxelles instrumentul de verificare a vârstei, afirmând că este „pregătit din punct de vedere tehnic” și că va fi disponibil în curând, pe măsură ce statele membre avansează cu interzicerea accesului minorilor la rețelele sociale.
„Este complet open source. Toată lumea poate verifica codul”, a declarat von der Leyen.
Experți în securitate și confidențialitate au analizat imediat codul sursă pe platforma GitHub și au raportat mai multe probleme legate de designul aplicației.
Scandalul se transformă într-un dezastru de imagine pentru Bruxelles. Dincolo de controversa tehnică, persistă însă diviziuni profunde între activiști pentru confidențialitate, organizații pentru drepturile copiilor, companii tech și politicieni privind modul de protejare a minorilor online — într-un context în care liderii promit protecție împotriva rețelelor sociale și a site-urilor pentru adulți.
La câteva ore după lansare, consultantul în securitate Paul Moore a descoperit că aplicația stochează date sensibile pe telefonul utilizatorului și nu le protejează corespunzător, a scris el într-o postare distribuită pe larg pe X. Moore susține că a reușit să „spargă” aplicația în mai puțin de 2 minute.
Baptiste Robert, un cunoscut hacker etic francez, a confirmat o parte dintre probleme și a declarat pentru POLITICO că autentificarea biometrică putea fi ocolită, ceea ce ar permite accesul fără PIN sau fără Touch ID.
Olivier Blazy, cercetător în criptografie și membru al unei echipe franceze pentru identitate digitală, a afirmat: „Să presupunem că am descărcat aplicația, am demonstrat că am peste 18 ani, apoi nepotul meu îmi ia telefonul, îl deblochează și folosește aplicația pentru a dovedi că are peste 18 ani.”
Comisia Europeană a menținut vineri poziția conform căreia aplicația este pregătită din punct de vedere tehnic. „Da, este pregătită. Poate adăugăm că ‘poate fi mereu îmbunătățită’”, a declarat purtătorul de cuvânt șef Paula Pinho.
Purtătorul de cuvânt pentru digital, Thomas Regnier, a precizat: „Când spunem că este o versiune finală, este… încă o versiune demo.” El a adăugat că produsul final nu este încă disponibil pentru cetățeni și că „codul va fi actualizat și îmbunătățit constant… nu pot exclude astăzi dacă vor fi necesare alte actualizări sau nu.”
Comisia Europeană a transmis joi într-un comunicat pentru POLITICO că hackerii testau o versiune mai veche, de tip „demo”, lansată pentru testare și dezvoltare. Vulnerabilitatea „a fost remediată”, a precizat instituția.
Însă atât Moore, cât și Blazy au afirmat că testele lor au fost efectuate pe cea mai recentă versiune disponibilă online.
„Este un lucru bun că aplicația a fost făcută open source pentru a fi testată de experți. Problema este că versiunea publicată nu respectă standardele de securitate pe care le-am aștepta de la o aplicație atât de importantă”, a declarat Blazy.
„Ne temeam că Comisia va lansa aplicația în grabă, indiferent de problemele de securitate, iar acum vedem că încearcă să lanseze ceva care nu este pregătit tehnic”, a adăugat el. „Un astfel de demers grăbit ar putea submina încrederea în viitoarele portofele digitale de identitate.”
Inti De Ceukelaire, hacker etic belgian, a afirmat: „Pentru proiecte open source ca acesta, ar fi fost util să fie publicate și evaluările de securitate înainte de lansare, astfel încât toată lumea să poată cântări beneficiile și riscurile.”
„Pe jumătate făcută”
Disputa online privind aplicația UE evidențiază o diviziune puternică asupra modului de reglementare a accesului la internet - de la site-uri pentru adulți până la platforme de social media.
UE și mai multe state membre derulează în prezent implementarea unor soluții de verificare a vârstei online, într-un context de presiune politică pentru protejarea copiilor pe internet.
Președintele francez Emmanuel Macron a convocat joi seara un apel video cu lideri europeni pe această temă, la care au participat von der Leyen, Giorgia Meloni, Pedro Sánchez, Friedrich Merz și alți lideri.
Australia a devenit în decembrie prima țară din lume care a impus restricții privind utilizarea rețelelor sociale de către copii, interzicând practic accesul sub 16 ani la platforme precum TikTok și YouTube.
Comisia Europeană a lansat în 2024 o licitație de 4 milioane de euro pentru aplicația de verificare a vârstei, adjudecată de compania suedeză Scytáles și Deutsche Telekom.
Aplicația permite utilizatorilor să își verifice vârsta prin pașaport, carte de identitate națională sau prin furnizori de încredere, precum o bancă. Platformele pot solicita doar confirmarea vârstei, fără acces la date personale suplimentare — printr-un sistem de tip „zero-knowledge proof”, conceput pentru protejarea confidențialității.
Guvernele naționale pot dezvolta propriile aplicații, iar acestea ar trebui să funcționeze interoperabil la nivelul Uniunii.
Criticii susțin însă că tehnologia de verificare a vârstei, cu protecția reală a datelor, nu este încă matură și că poate fi ușor ocolită prin VPN-uri.
Blazy a făcut parte dintr-un grup de peste 400 de experți în securitate și confidențialitate care au trimis în martie o scrisoare deschisă Comisiei, solicitând un moratoriu asupra implementării până când există un consens științific privind beneficiile și riscurile acestor tehnologii.
Potrivit Markétei Gregorová, eurodeputată din Partidul Piraților din Cehia și raportor pe un nou proiect legislativ privind securitatea cibernetică, „acest proces este grăbit sub presiune politică”. Ea a cerut o analiză mult mai riguroasă pentru a evalua dacă au fost respectate standardele de securitate și confidențialitate.
Birgit Sippel, eurodeputată social-democrată germană, a numit aplicația „o soluție pe jumătate făcută, care nu respectă propriile standarde ale UE”.
Piotr Müller, eurodeputat polonez din grupul Conservatorilor și Reformiștilor Europeni, a declarat: „Bruxelles împinge din nou un instrument tehnologic centralizat la nivelul UE. Aplicația grăbită de verificare a vârstei reprezintă un risc major pentru confidențialitatea cetățenilor… Nu putem accepta construirea pas cu pas a unui internet de tip chinezesc în Europa.”
