Aplikacja do weryfikacji wieku wprowadzona przez Komisję Europejską została zhakowana w mniej niż dwie minuty po jej udostępnieniu. Jak donosi Wired, eksperci od cyberbezpieczeństwa odkryli poważne luki w zabezpieczeniach darmowej aplikacji open source, która ma chronić dzieci przed dostępem do nieodpowiednich treści w mediach społecznościowych i na stronach pornograficznych.
Przewodnicząca Komisji Europejskiej Ursula von der Leyen ogłosiła podczas środowej konferencji prasowej, że dzięki aplikacji „nie ma więcej wymówek" dla platform, które nie sprawdzają wieku swoich użytkowników. Okazało się jednak, że sama aplikacja stwarza poważne zagrożenie dla bezpieczeństwa.
Kluczowe wnioski
- Błyskawiczny hack: Konsultant ds. bezpieczeństwa Paul Moore zhakował aplikację UE w mniej niż 2 minuty, odkrywając szereg krytycznych luk
- Podatny PIN: Aplikacja przechowuje PIN tworzony przez użytkownika w sposób umożliwiający atakującym łatwe przejęcie kontroli nad profilem
- Potwierdzona luka: Hacker typu "white hat" Baptiste Robert potwierdził istnienie podatności zgłoszonej przez Moore'a
- Ostrzeżenie przed katastrofą: Eksperci przewidują, że aplikacja doprowadzi do „ogromnego naruszenia bezpieczeństwa" - to tylko kwestia czasu
- Ironiczny kontrast: Narzędzie mające chronić prywatność nieletnich samo stwarza zagrożenia dla danych użytkowników
Szybkie zhakowanie aplikacji UE
Konsultant ds. cyberbezpieczeństwa Paul Moore opublikował na platformie X (dawniej Twitter) szczegóły swojego ataku na aplikację, tagując przy tym przewodniczącą von der Leyen. Według raportu Politico, Moore odkrył problemy związane z tym, jak aplikacja przechowuje PIN tworzony przez użytkownika. Ta luka pozwala atakującemu na stosunkowo łatwe przejęcie kontroli nad profilem użytkownika.
Baptiste Robert, znany hacker etyczny, potwierdził Politico istnienie podatności zgłoszonej przez Moore'a. W swoim poście Moore ostrzegł: „Ten produkt będzie katalizatorem ogromnego naruszenia bezpieczeństwa w pewnym momencie. To tylko kwestia czasu."
Szerszy kontekst problemów cyberbezpieczeństwa
Wpadka z aplikacją UE to tylko jeden z wielu incydentów bezpieczeństwa opisanych w najnowszym raporcie Wired. W tym samym tygodniu europejska sieć siłowni Basic-Fit potwierdziła poważne naruszenie danych, które dotknęło około miliona klientów. Skradziono dane bankowe, wraz z nazwiskami, adresami domowymi i e-mailowymi, numerami telefonów i datami urodzenia. Około 200 tysięcy członków tylko w Holandii zostało dotkniętych atakiem.
Równocześnie gigant rezerwacji hotelowych Booking.com potwierdził, że hakerzy mogli wyciągnąć dane klientów, w tym nazwiska, adresy e-mail, numery telefonów i szczegóły rezerwacji. Platforma społecznościowa Bluesky również doświadczyła problemów z powodu wyrafinowanego ataku DDoS, który rozpoczął się 15 kwietnia i powodował przerwy w działaniu kanałów, powiadomień i wyszukiwania.
Przypadek aplikacji do weryfikacji wieku pokazuje, jak trudne jest pogodzenie potrzeby ochrony nieletnich w internecie z zapewnieniem bezpieczeństwa cyfrowego. Ironia sytuacji polega na tym, że narzędzie stworzone w celu ochrony prywatności najmłodszych użytkowników samo stwarza poważne zagrożenia dla danych osobowych.
