Взлом за две минуты: почему сервис ЕС для верификации вызвал скандал

На следующий день после презентации в Брюсселе, когда Урсула фон дер Ляйен обещала европейцам «высшие стандарты анонимности», хваленое приложение для проверки возраста превратилось в пособие по взлому. Исследователю Полу Муру хватило всего 120 секунд, чтобы полностью обойти защиту, которую власти ЕС планируют сделать обязательной для всех пользователей соцсетей.

Мур обнаружил критические уязвимости в самой архитектуре программы. Оказалось, что зашифрованный PIN-код хранится локально и никак не привязан к идентификационным данным владельца. Злоумышленнику достаточно отредактировать конфигурационные файлы, чтобы сбросить счетчик попыток ввода пароля или вовсе отключить биометрическую проверку, просто заменив логическое значение в коде. Приложение фактически позволяет повторно использовать чужие данные, игнорируя базовые принципы кибербезопасности.

Основатель Telegram Павел Дуров увидел в столь стремительном провале защиты не техническую ошибку, а спланированную акцию. Он предположил, что инцидент станет удобным предлогом для европейских бюрократов. По мнению Дурова, теперь власти ЕС под лозунгом исправления уязвимостей смогут легально демонтировать механизмы конфиденциальности. Это позволит превратить инструмент для защиты детей в масштабную систему слежки за гражданами, лишая их права на анонимность в цифровом пространстве.

Инициатива Еврокомиссии предполагает, что каждый пользователь будет обязан подтверждать свой возраст через паспорт или удостоверение личности. Несмотря на заверения фон дер Ляйен в том, что система не позволит отслеживать действия людей, сторонние разработчики уже ставят под сомнение логику сервиса. Вопросы вызывает даже необходимость регулярного обновления подтверждения возраста: критики иронизируют, что человек, однажды ставший совершеннолетним, вряд ли помолодеет, а значит, сбор избыточных данных преследует иные цели.