Aplikace na ověřování věku stála EU sto milionů. Za dvě minuty byla prolomena

Odborníci na kybernetickou bezpečnost se ihned po zveřejnění zdrojového kódu na platformě GitHub pustili do jeho analýzy. Jejich nálezy naznačují, že design aplikace obsahuje několik problematických míst. Tato situace se pro Brusel rychle stává komunikačním fiaskem, které vyvolává otázky o celkové připravenosti unijních digitálních projektů.

Konzultant v oblasti bezpečnosti Paul Moore publikoval příspěvek na síti X, ve kterém tvrdil, že se mu podařilo aplikaci napadnout během méně než dvou minut. Podle jeho zjištění aplikace ukládala citlivá data přímo do telefonu uživatele, aniž by je dostatečně chránila. Tato zranitelnost podle něj umožňuje útočníkovi snadno převzít kontrolu nad uživatelským profilem.

Známý francouzský hacker Baptiste Robert podle webu Politico tyto bezpečnostní nedostatky potvrdil a upozornil na možnost obejít biometrické ověřování. Uživatelé by se tak mohli vyhnout zadávání PIN kódu nebo použití zabezpečení typu Touch ID pro přístup k aplikaci. Tento nedostatek fakticky znemožňuje spolehlivé ověření identity majitele telefonu.

Kryptografický výzkumník Olivier Blazy, který působí ve francouzské pracovní skupině pro digitální identitu, ilustroval rizika na praktickém příkladu. Pokud si dospělý uživatel aplikaci stáhne a prokáže svou plnoletost, kdokoli jiný s přístupem k jeho telefonu může aplikaci otevřít a využít ji jako důkaz vlastního věku. To podkopává základní smysl ověřovacího nástroje.

Evropská komise se navzdory kritice snažila stát za svým tvrzením, že je aplikace technicky hotová. Hlavní mluvčí Paula Pinho připustila, že nástroj může být neustále vylepšován. Digitální mluvčí Thomas Regnier později doplnil, že verze, o které hovoří jako o finální, je vlastně stále jen demo verzí.

Komise následně upřesnila, že hackeři testovali pouze dřívější demo verzi určenou pro vývojové účely, a nikoliv finální produkt. Úřad tvrdí, že zjištěné zranitelnosti již byly opraveny. Experti, včetně Moora a Blazyho, však oponují, že své testy prováděli na nejnovější dostupné verzi kódu zveřejněné online.

Blazy ocenil, že kód je otevřený pro odbornou komunitu, ale vytkl mu nesplnění standardů kybernetické bezpečnosti pro takto důležitý nástroj. Podle něj existovaly obavy, že Komise projekt uspěchala, aby ho uvedla bez ohledu na bezpečnostní rizika. Takový postup by mohl v budoucnu narušit důvěru občanů v podobné systémy digitální identity.

Kolem aplikace se rozhořel širší spor o to, jakým způsobem regulovat přístup k obsahu na internetu. Francouzský prezident Emmanuel Macron uspořádal videokonferenci s evropskými lídry, včetně von der Leyenové, Giorgii Meloniové, Pedra Sáncheze či Friedricha Merze. Cílem byla diskuse o ochraně dětí na sociálních sítích, což je téma, které vyvolává politický tlak na rychlá řešení.

Na vývoji aplikace, pro kterou Komise v roce 2024 vypsala tendr v hodnotě 4 milionů eur (100 milionů korun), pracovaly společnosti Scytáles a Deutsche Telekom. Systém má umožnit ověření věku prostřednictvím pasu, občanského průkazu nebo bankovních údajů. Služba využívá metodu takzvaného důkazu s nulovými znalostmi, aby při ověření minimalizovala sdílení osobních údajů.

Mnozí odborníci však varují, že technologie pro ověřování věku s odpovídající ochranou soukromí ještě není dostatečně připravena. Více než 400 expertů zaslalo Evropské komisi otevřený dopis s výzvou k moratoriu na nasazení těchto technologií. Požadují, aby se nejprve vyjasnila technická proveditelnost a možné negativní dopady na práva uživatelů.

Kritika zaznívá i z řad zákonodárců, kteří varují před uspěchaným procesem pod politickým tlakem. Podle některých politiků se Brusel snaží prosadit centralizovaný nástroj, který představuje obrovské riziko pro soukromí občanů. Objevují se dokonce varování, že takové kroky mohou vést ke vzniku internetu v evropském prostoru, který bude připomínat modely dohledu známé z jiných částí světa.