Siber güvenlik uzmanları, AB'nin sosyal medya yaş doğrulama için geliştirdiği uygulamanın kodlarında “bariz açıklar” bulunduğunu öne sürerek Brüksel’i sert şekilde eleştirdi.
Avrupa Birliği’nin çocukları sosyal medyanın etkilerinden korumak amacıyla geliştirdiği yaş doğrulama uygulaması, tanıtımının hemen ardından ciddi güvenlik ve gizlilik tartışmalarının odağına yerleşti.
REKLAM
REKLAM
Siber güvenlik uzmanları, uygulamanın kodlarında “bariz açıklar” bulunduğunu öne sürerek Brüksel’i sert şekilde eleştirdi.
Von der Leyen: 'Teknik olarak hazır'
Avrupa Komisyonu Başkanı Ursula von der Leyen, uygulamayı Brüksel’de tanıtırken sistemin “teknik olarak hazır” olduğunu ve yakında kullanıma sunulacağını söyledi.
Sistemin açık kaynak kodlu olduğunu vurgulayan von der Leyen, “Herkes kodu inceleyebilir,” ifadelerini kullandı.
Bunun üzerine uzmanlar uygulamanın kodlarını incelemeye başladı.
Sistem nasıl çalışıyor?
Uygulama, kullanıcıların yaşını pasaport, kimlik kartı ya da banka gibi güvenilir sağlayıcılar üzerinden doğrulamasına olanak tanıyor.
Uygulama, teknik olarak bir “dijital kimlik doğrulama aracı” gibi işliyor. Kullanıcılar pasaport veya kimlik kartı ile ya da banka gibi güvenilir sağlayıcılar üzerinden yaşlarını doğrulayabiliyor.
Buradaki kritik nokta şu: Platformlar (örneğin bir sosyal medya sitesi) kullanıcının tam kimliğini değil, sadece “18 yaşından büyük mü?” bilgisini alıyor. Bu yaklaşım, zero-knowledge proof (sıfır bilgi kanıtı) adı verilen bir kriptografi yöntemine dayanıyor.
Proje, 2024’te açılan 4 milyon euroluk ihaleyi kazanan İsveçli Scytáles ve Deutsche Telekom tarafından geliştirildi.
Uzmanlar açıkları ortaya koydu
Uygulamanın GitHub’daki kodlarını inceleyen güvenlik araştırmacıları, ciddi tasarım sorunlarına dikkat çekiyor.,
Güvenlik danışmanı Paul Moore, uygulamanın hassas verileri kullanıcıların telefonunda korumasız şekilde sakladığını belirterek sistemi “2 dakikadan kısa sürede hacklediğini” iddia etti.
Moore'a göre, kimlik doğrulama mekanizması kolayca aşılabilir. Uygulama kurulum sırasında kullanıcıdan bir PIN oluşturmanı istiyor. Normalde bu PIN güvenli şekilde saklanmalı ve kullanıcı kimliğiyle sıkı şekilde bağlantılı olmalı.
Ancak iddiaya göre PIN şifrelenip telefonda bir dosyaya kaydediliyor. Ama bu PIN, asıl kimlik verisinin tutulduğu sistemle güçlü şekilde bağlanmamış. Bu şu anlama geliyor: Bir hacker, telefonun içindeki bu dosyayı değiştirerek PIN’i sıfırlayıp yeni bir PIN belirleyebilir. Ama eski kullanıcının doğrulanmış kimlik bilgileri aynen kalır.
Fransız etik hacker Baptiste Robert da bu bulguları doğruladı. POLITICO'ya konuşan Robert’a göre uygulamanın biyometrik doğrulama sistemi kolayca aşılabiliyor; yani PIN kodu ya da parmak izi kullanılmadan uygulamaya erişmek mümkün.
Kriptografi uzmanı Olivier Blazy ise sorunu daha somut bir örnekle anlattı: “Ben uygulamayla 18 yaş üstü olduğumu kanıtladıktan sonra, telefonumu yeğenim alıp aynı uygulamayla kendini 18 yaş üstü gibi gösterebilir.”
Komisyon geri adım atmadı
Eleştiriler büyürken Avrupa Komisyonu uygulamanın arkasında durmaya devam etti. Komisyon gazeteye yaptığı açıklamada eleştirilerin “eski bir demo versiyon” üzerinden yapıldığını ve tespit edilen açığın giderildiğini savundu. Ancak hem Moore hem de Blazy, testlerini en güncel kod üzerinde yaptıklarını söylüyor.
Dijital politikalar sözcüsü Thomas Regnier ise uygulamanın henüz nihai sürüm olmadığını kabul ederek, “Final versiyon dediğimiz şey aslında hâlâ bir demo” ifadesini kullandı. Kodun sürekli güncelleneceğini belirtti.
Aceleye mi getirildi?
Uzmanlara göre sorun sadece teknik değil. Açık kaynak yapılmasının doğru bir adım olduğunu belirten Blazy, yayımlanan kodun bu kadar kritik bir uygulama için beklenen siber güvenlik standartlarını karşılamadığını vurguladı.
Blazy, “Komisyonun güvenlik sorunlarına rağmen aceleyle uygulamayı piyasaya sürmesinden endişe ediyorduk. Bu durum gelecekteki dijital kimlik projelerine olan güveni zedeleyebilir,” dedi.
Tartışmanın arkasında daha büyük bir kriz var
Yaş doğrulama uygulaması etrafındaki tartışma, aslında daha derin bir bölünmeyi ortaya koyuyor. Türkiye'de ve dünyada hükümetler çocukları sosyal medya ve pornografik içeriklerden korumak için yaş kontrol sistemleri kurmaya çalışırken, gizlilik savunucuları, teknoloji şirketleri ve siyasetçiler arasında ciddi görüş ayrılıkları var.
Fransa Cumhurbaşkanı Emmanuel Macron, bu konuyu görüşmek üzere Avrupa liderlerini bir video zirvesinde bir araya getirdi. Toplantıya İtalya’dan Giorgia Meloni, İspanya’dan Pedro Sánchez ve Almanya’dan Friedrich Merz gibi isimler katıldı.
Eleştiriler: 'Teknoloji hazır değil, kolayca aşılır'
Eleştirmenlere göre ise bu tür sistemler henüz güvenli ve mahremiyeti koruyacak olgunlukta değil. Ayrıca VPN gibi araçlarla kullanıcıların yaş kısıtlamalarını kolayca aşabileceği belirtiliyor.
Mart ayında 400’den fazla uzman, Avrupa Komisyonu’na açık mektup göndererek bu tür teknolojilerin etkileri netleşene kadar projeye “moratoryum” (geçici durdurma) uygulanmasını istemişti.
Avrupa Parlamentosu’nda yasa üzerinde çalışan Çek siyasetçi Markéta Gregorová, sürecin “siyasi baskıyla aceleye getirildiğini” söyledi. Alman milletvekili Birgit Sippel ise uygulamayı “AB’nin kendi standartlarını bile karşılamayan yarım yamalak bir çözüm” olarak nitelendirdi.