AB’nin Yaş Doğrulama Uygulaması Güvenlik Açıklarıyla Eleştirildi

Avrupa Birliği’nin çocukları sosyal medyanın olumsuz etkilerinden korumak amacıyla geliştirdiği yaş doğrulama uygulaması, tanıtımının hemen ardından ciddi güvenlik ve gizlilik endişeleriyle karşı karşıya kaldı. Siber güvenlik uzmanları, uygulamanın kodlarında belirgin zayıflıklar olduğunu belirterek Brüksel'i eleştirdi.

Uygulamanın Tanıtımı ve İşleyişi

Avrupa Komisyonu Başkanı Ursula von der Leyen, uygulamayı Brüksel’de tanıtırken sistemin "teknik olarak hazır" olduğunu ve yakında kullanıma sunulacağını ifade etti. Von der Leyen, sistemin açık kaynak kodlu olduğunu ve herkesin kodları inceleyebileceğini vurguladı.

Uygulama, kullanıcıların yaşını pasaport, kimlik kartı veya banka gibi güvenilir sağlayıcılar üzerinden doğrulamasına olanak sağlıyor. Platformlar ise kullanıcının tam kimliğini değil, sadece 18 yaşından büyük olup olmadığını öğreniyor. Bu yöntem, sıfır bilgi kanıtı (zero-knowledge proof) adlı kriptografi tekniğine dayanıyor. Proje, 2024’te açılan 4 milyon euroluk ihaleyi kazanan İsveçli Scytáles ve Deutsche Telekom tarafından geliştirildi.

Güvenlik Uzmanlarından Sert Eleştiriler

Uygulamanın GitHub’daki kodlarını inceleyen güvenlik araştırmacıları, ciddi tasarım sorunlarına işaret etti. Güvenlik danışmanı Paul Moore, uygulamanın hassas verileri kullanıcıların telefonunda korumasız şekilde sakladığını belirterek, sistemi "2 dakikadan kısa sürede hacklediğini" iddia etti.

Moore’ya göre, kimlik doğrulama mekanizması kolayca aşılabiliyor. Uygulama kurulumunda kullanıcıdan oluşturulan PIN, güvenli şekilde saklanmak yerine telefonun içinde şifrelenmiş bir dosyada tutuluyor. Ancak bu PIN, kimlik verilerinin olduğu sistemle güçlü bağa sahip değil. Bu durum, bir hackerın telefon içindeki dosyayı değiştirerek PIN’i sıfırlayıp yeni bir PIN oluşturabileceği anlamına geliyor. Eski kullanıcının doğrulanmış kimlik bilgileri ise aynen kalıyor.

Fransız etik hacker Baptiste Robert, POLITICO’ya yaptığı açıklamada bu bulguları doğruladı. Robert, biyometrik doğrulama sisteminin de kolayca aşılabildiğini; PIN veya parmak izi olmadan uygulamaya erişim sağlanabildiğini söyledi.

Kriptografi uzmanı Olivier Blazy, durumu somut bir örnekle açıkladı: "Ben uygulamayla 18 yaş üstü olduğumu kanıtladıktan sonra, telefonumu yeğenim alıp aynı uygulamayla kendini 18 yaş üstü gibi gösterebilir."

Avrupa Komisyonu Eleştirilere Yanıt Verdi

Eleştiriler artarken Avrupa Komisyonu, uygulamanın arkasında durdu. Komisyon, eleştirilerin "eski bir demo versiyon" üzerinden yapıldığını ve tespit edilen açığın giderildiğini belirtti. Ancak Moore ve Blazy, testlerini en güncel kod üzerinde gerçekleştirdiklerini açıkladı.

Dijital politikalar sözcüsü Thomas Regnier, uygulamanın henüz nihai sürüm olmadığını kabul ederek, "Final versiyon dediğimiz şey aslında hâlâ bir demo" ifadelerini kullandı. Kodun sürekli güncelleneceğini belirtti.

Aceleye Getirilme Endişeleri

Uzmanlar, sorunun sadece teknik olmadığını belirtiyor. Açık kaynak yapılmasının doğru bir adım olduğunu söyleyen Blazy, yayımlanan kodun kritik bir uygulama için beklenen siber güvenlik standartlarını karşılamadığını vurguladı. Blazy, "Komisyonun güvenlik sorunlarına rağmen aceleyle uygulamayı piyasaya sürmesinden endişe duyuyoruz. Bu, gelecekteki dijital kimlik projelerine olan güveni zedeleyebilir" dedi.

Daha Geniş Bir Tartışmanın Parçası

Yaş doğrulama uygulaması etrafındaki tartışma, daha geniş bir bölünmeyi ortaya koyuyor. Türkiye’de ve dünyada hükümetler, çocukları sosyal medya ve zararlı içeriklerden korumak için yaş kontrol sistemleri kurmaya çalışırken, gizlilik savunucuları, teknoloji şirketleri ve siyasiler arasında görüş ayrılıkları bulunuyor. Türkiye’de çocukların dijital güvenliği için getirilen yeni sosyal medya düzenlemeleri de bu küresel tartışmanın bir parçası olarak dikkat çekiyor.

Fransa Cumhurbaşkanı Emmanuel Macron, konuyu görüşmek için Avrupa liderlerini bir video zirvesinde topladı. Toplantıya İtalya’dan Giorgia Meloni, İspanya’dan Pedro Sánchez ve Almanya’dan Friedrich Merz gibi isimler katıldı.

Uzmanlar Güvenlik ve Mahremiyet Konusunda Şüpheli

Eleştirmenler, bu tür sistemlerin henüz güvenli ve mahremiyeti koruyacak olgunlukta olmadığını belirtiyor. VPN gibi araçlarla kullanıcıların yaş kısıtlamalarını kolayca aşabileceği ifade ediliyor. Mart ayında 400’den fazla uzman, Avrupa Komisyonu’na açık mektup göndererek bu teknolojilerin etkileri netleşene kadar projeye moratoryum (geçici durdurma) uygulanmasını talep etmişti.

Avrupa Parlamentosu’nda yasa üzerinde çalışan Çek siyasetçi Markéta Gregorová, sürecin "siyasi baskıyla aceleye getirildiğini" söyledi. Alman milletvekili Birgit Sippel ise uygulamayı "AB’nin kendi standartlarını bile karşılamayan yarım yamalak bir çözüm" olarak nitelendirdi.