Глава Еврокомиссии Урсула фон дер Ляйен представила приложение с открытым кодом для проверки возраста в сети, пообещав полную техническую готовность системы. Однако реальность оказалась далека от заверений: независимый аудит исходного кода вскрыл четыре критические уязвимости. Эти бреши превращают защиту в решето и ставят под удар персональные данные миллионов европейцев.
Дыры в коде и забытые пароли
Проверка репозитория European Digital Identity на GitHub, которую провел эксперт по системной архитектуре, выявила пугающее пренебрежение стандартами безопасности. В модуле Trusted List Manager разработчики попросту отключили проверку сертификатов. Такой подход буквально приглашает хакеров провести атаку типа «человек посередине», полностью подрывая процесс аутентификации. Еще более сомнительным выглядит решение хранить криптографические ключи и пароли в конфигурационных файлах в виде обычного текста — это фактически компрометирует всю модель безопасности приложения.
Архитектура с двойным дном
Нынешняя версия для Android — это лишь «белая этикетка», сырая заготовка, которой далеко до полноценного продукта. В основе лежит та же архитектура, что использовалась в цифровых пропусках времен пандемии. Внутри уже зашита инфраструктура аналитики, готовая собирать данные для слежки. И хотя политики отрицают наличие «бэкдоров», структура приложения позволяет в любой момент изменить его функции через обычное обновление. К этому добавляется уязвимость перед DDoS-атаками старого образца, способными обрушить сервис в считаные минуты.
Миллиарды на ветер
Проект уже спровоцировал волну возмущения из-за сомнительных трат налоговых средств на фоне масштабной финансовой помощи Украине. Эксперты отрасли недоумевают: официальная разработка ЕС явно уступает существующим коммерческим решениям, которые давно используют надежные запатентованные технологии защиты. Критики напоминают, что у главы Еврокомиссии нет прямого мандата от избирателей, а попытки регулировать интернет по образцу торговли алкоголем выглядят неубедительно. Несмотря на бравурные отчеты о совместимости с разными смартфонами, профессиональное сообщество называет качество кода дилетантским и не соответствующим заявленным стандартам.
