Avrupa Birliği’nin kullanıcı gizliliğini koruma iddiasıyla devreye aldığı yeni dijital yaş doğrulama uygulaması, yayıma alınmasının ardından kısa sürede güvenlik açıklarıyla gündeme geldi. Sistemin bazı temel koruma katmanlarının dakikalar içinde aşılabildiği öne sürüldü.

İnternet kullanımına yönelik denetimlerin dünya genelinde giderek sıkılaştığı bir dönemde, Avrupa Birliği de yaş doğrulama alanında yeni bir adım attı.

Avrupa Komisyonu tarafından kullanıma sunulan Dijital Yaş Doğrulama Uygulaması, kullanıcıların kişisel verilerini doğrudan paylaşmadan yaşlarını kanıtlayabilmesini hedefliyordu. Ancak uygulama, hizmete açılmasının üzerinden henüz 48 saat geçmeden ciddi güvenlik tartışmalarının merkezine oturdu.

14 Nisan’da erişime açılan sistemin, pasaport veya kimlik kartı üzerinden yaş doğrulaması yapabildiği belirtildi. Avrupa Komisyonu Başkanı Ursula von der Leyen, uygulamayı tanıtırken yüksek gizlilik standartlarına sahip ve kullanıcı dostu bir çözüm olarak değerlendirmişti. Ne var ki kısa süre içinde ortaya çıkan teknik bulgular, sistemin güvenlik altyapısına ilişkin soru işaretlerini büyüttü.

İngiltere merkezli güvenlik danışmanı Paul Moore, uygulamanın kimlik doğrulama mekanizmasını iki dakikadan kısa sürede devre dışı bırakabildiğini açıkladı. Moore’un paylaştığı teknik incelemeye göre, kullanıcıdan alınan PIN kodu şifrelenmiş şekilde cihazdaki yerel bir dosyada saklanıyor.

Ancak bu yapının, doğrulama verileriyle güvenli biçimde ilişkilendirilmediği ve kullanılan şifreleme yönteminin uygulamada yeterli koruma sağlamadığı öne sürüldü.

İddiaya göre, cihaza fiziksel erişim sağlayan bir kişi ilgili dosyadaki bazı değerleri silerek uygulamayı sıfırlayabiliyor ve kendi belirlediği yeni bir PIN ile sisteme giriş yapabiliyor. En dikkat çekici nokta ise, uygulamanın bu işlem sonrasında önceki kullanıcıya ait doğrulanmış kimlik verilerini geçerli kabul etmeyi sürdürmesi. Bu durumun, yaş doğrulama bilgilerinin herhangi bir ek uyarı oluşmadan ele geçirilmesine kapı aralayabileceği ifade edildi.

Tartışmalar yalnızca PIN yapısıyla sınırlı kalmadı. Aynı yapılandırma dosyasında yer alan başka güvenlik önlemlerinin de kolayca değiştirilebildiği belirtildi. Özellikle kaba kuvvet saldırılarını önlemek için kullanılan deneme sınırlandırmasının basit bir sayaç mantığıyla çalıştığı, bu sayacın sıfırlanması halinde sınırsız giriş denemesinin mümkün olabileceği ileri sürüldü.

Biyometrik doğrulama katmanında da benzer bir zafiyet bulunduğu savunuldu. Sistemde biyometrik güvenliğin aktif olup olmadığını belirleyen parametrenin değiştirilebilmesi halinde, bu koruma kalkanının tamamen devre dışı bırakılabildiği bildirildi. Uzman değerlendirmelerine göre bu tablo, tekil bir yazılım hatasından çok sistemin genel mimarisinde ciddi tasarım sorunları bulunduğuna işaret ediyor.

Ortaya çıkan bulguların ardından Avrupa Komisyonu’nun hızlı biçimde devreye girdiği ve sistem üzerinde bazı değişiklikler yaptığı açıklandı. Uygulamanın güncellendiği duyurulurken, ilk aşamada ortaya çıkan sorunlar dijital kimlik altyapılarının güvenliği konusundaki tartışmaları da yeniden alevlendirdi.

Yakın gelecekte Avrupa Dijital Kimlik sisteminde de benzer teknolojilerin kullanılmasının planlandığı dikkate alındığında, yaşanan bu gelişmenin yalnızca tek bir uygulamayla sınırlı olmadığı değerlendiriliyor. İlk günden patlak veren güvenlik açıkları, dijital doğrulama sistemlerinde gizlilik kadar dayanıklılık ve tasarım güvenliğinin de kritik önem taşıdığını bir kez daha gündeme taşıdı.