Altă înșiruire de vulnerabilități afectează credibilitatea și viabilitatea proiectului de verificare a vârstei online promison de Uniunea Europeană. La câteva ore după anunțarea lansării, experți în securitate au identificat probleme grave în sistem, punând sub semnul întrebării nu doar funcționarea corectă, ci și beneficiile asumate ale acestei soluții.
Probleme de securitate identificate după lansare
Experții au descoperit că date sensibile, cum ar fi documente de identitate, sunt stocate fără protecție adecvată în sistem. În plus, autentificarea biometrică se dovedește vulnerabilă, fiind ușor de ocolit. De asemenea, scenarii simple ar permite unui copil să utilizeze telefonul unui adult pentru a păcăli sistemul de verificare a vârstei.
Sistemasul nu asigură și o securitate de bază, fiind expus accesului neautorizat și manipulărilor. Codul sursă al aplicației este departe de a fi stabil pentru utilizare publică, afirmă consultanți în securitate. Sunt semnalate probleme precum stocarea PIN-urilor în fișiere XML editabile și posibilitatea resetării contorilor de încercări eșuate. Autentificarea biometrică poate fi dezactivată prin schimbarea unei singure valori, fără nevoie de prudență suplimentară.
Pentru a face și mai vulnerabilă situația, cercetătorii în criptografie au sugerat că un minor poate folosi telefonul unui adult pentru a trece de verificare, după ce un adult verifică vârsta o singură dată. În absența autentificărilor constante, această metodă de ocoliș devine o realitate.
În plus, sistemul a fost dezvoltat cu un cost de aproximativ patru milioane de euro, fiind realizat de companii precum Scytales și Deutsche Telekom. Peste 400 de specialiști în securitate și privacy au cerut deja un moratoriu pentru implementarea sistemului până la realizarea unui audit independent, dar solicitarea nu a fost luată în considerare.
Context și critici privind implementarea
Experți în domeniu afirmă că proiectul nu este gata pentru utilizare publică, considerând că aplicația nu garantează securitatea datelor și protecția utilizatorilor minori. Conform acestora, codul sursă are probleme și trebuie revizuit pentru a putea asigura o funcționare sigură.
Olandezul Thomas Lohninger, director executiv al ONG-ului epicenter.works, a declarat că planurile Uniunii Europene de a lega identitatea digitală de verificarea vârstei ridică îngrijorări. El crede că UE ar trebui să reevalueze aceste planuri, concentrându-se mai mult pe aplicarea legislației privind conținutul online.
Funcționarea concretă a aplicației
Proiectul prevede utilizarea unei aplicații intermediare pentru verificarea vârstei, eliminând necesitatea de a transmite direct date personale fiecărui site. În teorie, astfel, se limitează schimburile de date și se protejează identificarea utilizatorilor.
În practică, verificarea se face prin autentificare folosind un document oficial, precum buletinul sau pașaportul. Aplicația procesează aceste date și generează o dovadă digitală pentru a fi folosită pe platforme online.
Vulnerabilitățile descoperite, însă, arată o fragilitate în mecanism. PIN-ul, de exemplu, era stocat într-un fișier XML editabil, contorul de încercări putea fi resetat, iar autentificarea biometrică putea fi dezactivată prin modificarea unei singure valori. Astfel, protecțiile de bază nu sunt robuste.
O altă problemă structurală menționată de cercetători este posibilitatea ca un minor să utilizeze telefonul unui adult pentru a trece de verificare, după ce verificarea inițială a avut loc. În lipsa unui control constant asupra sesiunii, această metodă poate fi exploatată.
Costul de realizare al proiectului s-a ridicat la aproximativ patru milioane de euro, fiind în dezvoltare de companii precum Scytales și Deutsche Telekom. Un grup de peste 400 de cercetători segmentați în domeniul securității și drepturilor digitale au cerut suspendarea și auditarea proiectului, dar solicitarea a fost ignorată.
Riscuri de securitate și implicații asupra utilizatorilor
Pe termen lung, crește atractivitatea sistemului pentru infractori. Colectarea și stocarea datelor sensibile fac infrastructura vulnerabilă la atacuri precum fraudă, phishing sau furt de identitate. La rândul lor, utilizatorii vor fi nevoiți să transmită mai multe date personale pentru a avea acces la servicii, deși până acum acestea nu necesitau astfel de verificări.
Există și temeri că măsurile de verificare a vârstei online să nu fie eficiente în reducerea riscurilor reale, precum bullying sau abuzuri. Experiența altor țări în implementarea unor tehnologii similare indică faptul că minorii pot găsi modalități de a ocoli verificarea, precum crearea de conturi pentru adulți sau utilizarea VPN-urilor.
Apariția unor platforme mai puțin reglementate și cu un control slab al conținutului poate duce la riscuri mai mari pentru utilizatorii vulnerabili. Limitarea accesului prin verificare de vârstă nu abordează în mod direct cauzele fundamentale ale problemelor sociale și online.
Documentația și dovezile arată clar că proiectul, deși ambițios, se confruntă cu probleme serioase de securitate și implementare, diferențele structurale și vulnerabilitățile tehnice fiind semne de întrebare pentru eficiența sa în protejarea minorilor pe internet.
