Predstavljanje aplikacije za provjeru dobi na internetu pretvorilo se u prvorazredni skandal nakon što su stručnjaci za kibernetičku sigurnost otkrili problematične dijelove koda koj ugrožavaju sigurnost i privatnost podataka.

Predsjednica Europske komisije, Ursula von der Leyen pohvalila je aplikaciju tvrdeći da je "tehnički spremna" i da će uskoro biti dostupna za korištenje. Cilj je, naime, pomoći državama članicama koje u sve većoj mjeri uvode zabrane korištenja društvenih mreža za djecu.

"Aplikacija je u potpunosti otvorenog koda. Svatko može provjeriti njezin kod", rekla je von der Leyen.

Jednostavno hakiranje

Sigurnosni konzultant Paul Moore otkrio je da bi ona trebala pohranjivati osjetljive podatke na mobitelu korisnika, pri čemu oni ne bi bili zaštićeni. Naime, uspio je hakirati aplikaciju za manje od dvije minute.

Baptiste Robert, francuski etički haker, potvrdio je mnoge od navedenih problema i za Politico izjavio kako je moguće zaobići biometrijske značajke za autentifikaciju, odnosno izbjeći unos PIN-a ili korištenje Touch ID-a kako bi pristupio aplikaciji.

"Recimo da preuzmem aplikaciju i dokažem da sam stariji od 18 godina. Moj nećak tada može uzeti moj telefon, otključati aplikaciju i pomoću nje dokazati da je i on stariji od 18", opisao je problem Olivier Blazy, član francuske radne skupine za digitalni identitet.

Demo verzija

No, Europska komisija ostaje pri svojoj tvrdnji da je aplikacija spremna, iako dužnosnici priznaju da je to još uvijek demo verzija čiji kod će se "neprestano ažurirati i poboljšavati". Dodaju da aplikacija još uvijek nije dostupna građanima.

"Da, aplikacija je spremna. Možda bismo mogli dodati da se uvijek može poboljšati", rekla je glavna glasnogovornica Paula Pinho.

Iz Komisije su poručili da su hakeri istraživali raniju demo verziju aplikacije, no dvojac koji je otkrio probleme tvrdi da je ispitivanja proveo na najnovijoj online verziji koda.

"Dobro je što su aplikaciju učinili otvorenom kako bi je stručnjaci mogli isprobati i testirati. Problem je što objavljeni izvorni kod ne zadovoljava standarde kibernetičke sigurnosti kakve bismo očekivali za ovako važnu aplikaciju", rekao je Blazy.

Produbljivanje podjela

Ova je situacija samo produbila podjele unutar EU o tome na koji način bi se trebao regulirati pristup internetu. Naime, cijeli posao vrijedan četiri milijuna eura započeo je još 2024. godine. Posao su krajem prošle godine dobili Deutsche Telekom i švedska tvrtka Scytáles, koji su stvorili aplikaciju kojom je moguće potvrditi dob putem osobne iskaznice, putovnice ili, primjerce, bankovnog tokena. 

Kritičari tvrde da tehnologija za provjeru dobi nije spremna, čak ni uz odgovarajuću zaštitu. Čak i da jest, tvrde, korisnici bi je lako zaobišli široko dostupnim alatima poput VPN-a. 

Olivier Blazy je bio dio skupine od preko 400 stručnjaka za privatnost i sigurnost koji su prošloga mjeseca poslali otvoreno pismo Europskoj komisiji tražeći "moratorij na planove implementacije dok se ne postigne znanstveni konsenzus o koristima i štetama".