Приложение ЕС для проверки возраста раскритиковали сразу после анонса

Приложение ЕС для проверки возраста пользователей, которое в Брюсселе представили как приватное и безопасное решение для защиты детей в сети, почти сразу оказалось под критикой специалистов по кибербезопасности. Один из исследователей заявил, что обошёл защиту «за две минуты» и увидел риски для конфиденциальных данных.


Еврокомиссия 15 апреля объявила, что европейское приложение для проверки возраста готово к развёртыванию. Урсула фон дер Ляйен тогда говорила о «самых высоких стандартах конфиденциальности», а сама Комиссия подчёркивала, что сервис должен позволять человеку подтвердить, что ему больше 18 лет, не раскрывая сайтам другие личные данные.

Но почти сразу после презентации началась и другая история — уже не политическая, а техническая. В профессиональной среде проект стали разбирать как обычный код, а не как красивую презентацию. На этом фоне специалист по кибербезопасности Пол Мур заявил, что сумел обойти защиту приложения менее чем за две минуты. Суть претензии сводится к тому, что часть критически важной логики, по его словам, завязана на локальные настройки, которые можно изменять вручную. Если это описание верно, то проблема не в отдельной мелкой ошибке, а в самой архитектуре доступа.

Самый неприятный для Брюсселя момент в том, что речь идёт не о слухах вокруг «чёрного ящика», а об открытом проекте, который власти сами продвигали как плюс. Код выложен публично, и именно это позволило быстро проверить, как устроены PIN-коды, биометрическая защита и счётчики ограничений на попытки входа. По описанию исследователя, часть этих механизмов можно сбросить или отключить через редактирование локальных параметров. Если такая схема действительно работает воспроизводимо, то приложение открывает дорогу к повторному доступу к уже созданным удостоверениям возраста и делает модель защиты заметно слабее, чем следует из официальных заявлений.

При этом важна и другая деталь, без которой тема легко превращается в слишком громкий приговор. В официальном репозитории проекта прямо сказано, что нынешняя версия — это reference implementation, то есть базовая эталонная сборка для стран ЕС и разработчиков, а не законченный массовый продукт. В описании также указано, что приложение пока не feature complete, требует дальнейшей интеграции и доработки перед полноценным выпуском на национальном уровне. Иными словами, критика касается не уже устоявшейся системы, а решения, которое Брюссель одновременно представил как «готовое» и при этом сам описывает как незавершённое.

Вот здесь и проходит главная линия конфликта. Политически Еврокомиссии нужно было показать быстрый и понятный ответ на давление вокруг защиты детей в интернете. Технически же такие системы живут совсем по другой логике: чем громче заявление о безопасности и приватности, тем внимательнее специалисты будут искать точку, где эта конструкция даёт трещину. Поэтому история с приложением для проверки возраста важна не только как спор о конкретной уязвимости. Она показывает, насколько хрупкой становится любая цифровая инфраструктура, если её начинают продавать публике как уже готовый эталон до того, как она прошла полноценную стресс-проверку.

Для пользователя здесь важен самый простой вывод. Возрастная верификация почти всегда подаётся как компромисс между защитой детей и защитой частной жизни взрослых. Но стоит системе дать сбой, и компромисс исчезает первым. Тогда на поверхности остаётся не обещанная анонимность, а риск того, что чувствительные данные, токены доступа или история подтверждений возраста окажутся привязаны к слишком слабой схеме защиты.

ИЗНАНКА

Самая уязвимая часть таких проектов — не код сам по себе, а политическое желание назвать его безопасным раньше времени. Когда технологию презентуют как завершённую моральную победу, любой найденный изъян перестаёт быть просто багом и сразу становится проверкой на честность всей конструкции.

Фото: соцсети/ИЗНАНКА.

ИЗНАНКА — другая сторона событий.