Lansarea de către Uniunea Europeană a unei aplicații mobile pentru verificarea vârstei online a luat rapid o întorsătură proastă, deoarece experții în securitate cibernetică au descoperit probleme evidente de confidențialitate și securitate legate de cod. Consultantul în securitate Paul Moore a descoperit că aceasta „stochează date sensibile pe telefonul unui utilizator și îl lasă neprotejat”, a scris el într-o postare distribuită pe X. Moore a susținut că a spart aplicația „în mai puțin de două minute”, scrie Politico.
Președinta Comisiei Europene, Ursula von der Leyen, a prezentat miercuri, la Bruxelles, instrumentul de verificare a vârstei, declarând că acesta este „gata din punct de vedere tehnic” și va fi disponibil în curând, pe măsură ce țările iau măsuri pentru a interzice accesul copiilor la rețelele de socializare.
„Este complet open source. Oricine poate verifica codul”, a spus von der Leyen.
Experții în cibernetică și confidențialitate au analizat imediat codul sursă de pe platforma software GitHub și au raportat mai multe probleme legate de designul aplicației.
Saga se transformă într-un dezastru de relații publice pentru Bruxelles. Însă, dincolo de controversa privind codul, se află diviziuni mai profunde între activiștii pentru confidențialitate, grupurile pentru drepturile copilului, firmele de tehnologie și politicieni cu privire la modul de protejare a minorilor online, toate astea în timp ce liderii promit să-i protejeze pe copii de rețelele sociale și de site-urile pornografice.
La câteva ore de la lansarea aplicației de către UE, consultantul în securitate Paul Moore a descoperit că aceasta „stochează date sensibile pe telefonul unui utilizator și îl lasă neprotejat”, a scris el într-o postare distribuită pe X. Moore a susținut că a spart aplicația în mai puțin de două minute.
Baptiste Robert, un proeminent hacker francez de tip „white hat” (N.r. - un tip de hacker care dezvăluie vulnerabilități pentru a îmbunătăți securitatea și împiedica atacurile reale), a confirmat multe dintre probleme și a declarat că „este posibil să se ocolească funcțiile de autentificare biometrică ale aplicației, ceea ce înseamnă că cineva ar putea renunța la introducerea unui cod PIN sau la utilizarea Touch ID pentru a accesa aplicația”.
„Să presupunem că am descărcat aplicația, am dovedit că am peste 18 ani, atunci nepotul meu îmi poate lua telefonul, debloca aplicația și o poate folosi pentru a dovedi că are peste 18 ani”, a spus Olivier Blazy, un cercetător criptografic care face parte dintr-un grup de lucru francez privind identitatea digitală.
Comisia Europeană și-a menținut vineri declarația conform căreia aplicația este gata din punct de vedere tehnic.
„Da, este gata. Poate am putea adăuga lucruri și poate fi întotdeauna îmbunătățită”, a spus purtătorul de cuvânt șef, Paula Pinho.
Purtătorul de cuvânt al departamentului digital, Thomas Regnier, a spus: „Când spunem că este o versiune finală, este încă o versiune demo”.
El a adăugat că produsul final nu este încă disponibil pentru cetățeni și „codul va fi actualizat și îmbunătățit constant”.
„Nu pot exclude sau prejudeca astăzi dacă vor fi necesare sau nu actualizări suplimentare”, a spus Regnier.
Comisia Europeană a declarat joi pentru Politico, într-un comunicat, că hackerii investighează o „versiune demo” anterioară a aplicației, lansată în „scopuri de testare și dezvoltare”.
„Vulnerabilitatea a fost remediată”, a precizat Comisia.
Însă atât Moore, cât și Blazy au declarat că își efectuează testele online asupra celei mai recente versiuni a codului UE.
„Este bine că au făcut aplicația open-source pentru ca experții să o poată testa. Problema este că codul sursă lansat nu îndeplinește standardele de securitate cibernetică pe care le-am aștepta pentru o aplicație atât de importantă”, a spus Blazy.
„Ne temeam că va lansa aplicația în grabă, indiferent de problemele de securitate, iar acum putem vedea că vrea să lanseze ceva ce nu este încă gata din punct de vedere tehnic. O lansare atât de grăbită ar putea submina încrederea în viitoarele portofele digitale de identitate”, a adăugat el.
Inti De Ceukelaire, un hacker etic (N.r. - „white hat”) belgian proeminent, a declarat: „Pentru proiectele cu cod open source precum acesta, ar fi o idee bună să se publice și orice evaluări de securitate înainte de lansare, astfel încât toată lumea să poată echilibra beneficiile versus riscurile”.
Disputa online privind aplicația UE dezvăluie o diviziune acerbă în ceea ce privește modul de gestionare a accesului utilizatorilor de internet la orice, de la site-uri pornografice la rețele sociale. UE și multe dintre țările sale membre sunt în plină desfășurare a unor metode de verificare a vârstei online, impulsionate de o presiune politică pentru o mai bună protecție a copiilor pe internet.
Președintele francez Emmanuel Macron a reunit, joi seară, șefi de stat din întreaga Europă pentru o convorbire video pe această temă, la care au participat von der Leyen, Giorgia Meloni (Italia), Pedro Sánchez (Spania), Friedrich Merz (Germania) și alți lideri.
Australia a devenit în decembrie prima țară din lume care a implementat restricții privind utilizarea rețelelor sociale de către copii, interzicând efectiv persoanelor sub 16 ani să utilizeze platforme populare precum TikTok și YouTube.
Comisia Europeană a lansat în 2024 o licitație de 4 milioane de euro pentru aplicația de verificare a vârstei, licitație câștigată de compania suedeză de identitate digitală Scytáles și Deutsche Telekom.
Aplicația permite utilizatorilor să își verifice vârsta prin intermediul pașaportului, al unui act de identitate național sau prin intermediul unor furnizori de încredere, cum ar fi o bancă. Platformele tehnologice pot întreba aplicația dacă o persoană are peste o anumită vârstă, dar nu ar avea acces la mai multe date personale.
Guvernele naționale își pot proiecta, de asemenea, propriile aplicații, iar aplicațiile sunt menite să funcționeze împreună pentru a permite verificări fără probleme ale vârstei în întregul bloc comunitar.
Însă criticii spun că tehnologia de verificare a vârstei cu protecții adecvate ale confidențialității și datelor pur și simplu nu este pregătită și, chiar dacă ar fi, utilizatorii de internet ar ocoli-o cu ușurință cu lucruri precum rețelele private virtuale (VPN) care le maschează locația.
Blazy a făcut parte dintr-un grup de peste 400 de experți în domeniul confidențialității și securității care au trimis o scrisoare deschisă Comisiei în martie pentru a impune un „moratoriu asupra planurilor de implementare până când se va ajunge la un consens științific cu privire la beneficiile și daunele pe care le pot aduce tehnologiile de verificare a vârstei și cu privire la fezabilitatea tehnică a unei astfel de implementări”.
Potrivit lui Marketa Gregorova, membră a Czech Pirate Party din Parlamentul European și principală deputată în elaborarea unui nou proiect de lege privind securitatea cibernetică, „acest proces este grăbit sub presiune politică”.
„Europa ar trebui să examineze mult mai atent aplicația pentru a evalua dacă au fost luate toate măsurile pentru securitatea cibernetică și confidențialitate”, a spus Gregorova.
Birgit Sippel, o importantă parlamentară germană de centru-stânga, a numit aplicația „o soluție de aplicație neterminată, care nu respectă standardele UE”.
Piotr Muller, un parlamentar polonez din partea Conservatorilor și Reformiștilor Europeni, a declarat că „Bruxelles insistă din nou asupra unui instrument tehnologic centralizat, la nivelul întregii UE.
„Aplicația de verificare a vârstei, anunțată în grabă, reprezintă un risc masiv pentru viața privată a cetățenilor. Nu putem fi de acord cu crearea pas cu pas a unui internet în stil chinezesc în Europa”, a spus el.
Ştiri video recomandate
