Evropská unie představila své nové řešení pro ověřování věku (součást iniciativy EU Digital Identity Wallet) jako klíčový nástroj k „ochraně“ uživatelů online. První testy však ukazují znepokojivou realitu: systém možná není připraven nést takovou odpovědnost.
Bezpečnostní výzkumník Paul Moore ukázal, že aplikaci bylo možné obejít za méně než dvě minuty. Problém? PIN kód, který má chránit identifikační údaje, je ukládán lokálně způsobem, který umožňuje jeho snadné resetování (aniž by došlo ke ztrátě přístupu ke stávajícím údajům).
V praxi to znamená:
žádné silné propojení mezi uživatelem a zařízením,
žádné důsledné vynucení autentizace,
žádná skutečná ochrana proti manipulaci.
Ještě znepokojivější je způsob, jakým aplikace nakládá s citlivými osobními údaji. Podle dostupných informací mohou skeny pasů a biometrické selfie zůstávat uložené v zařízení bez spolehlivé záruky šifrování nebo odstranění. To vytváří významné bezpečnostní riziko – zejména v případě ztráty zařízení, jeho kompromitace nebo sdílení s dalšími osobami.
Podle informací médií Politico a Wired nešlo o žádné okrajové technické chyby. Tyto slabiny bylo možné zneužít velmi jednoduše, což vyvolává vážné otázky ohledně připravenosti systému a důkladnosti bezpečnostního testování.
A právě to je zásadní problém: centralizované systémy digitální identity zvyšují riziko ve velkém měřítku. Pokud jsou citlivé údaje (např. doklady totožnosti, biometrické údaje) soustředěny v jednom rámci, i drobné slabiny mohou mít zásadní důsledky.
Historie navíc neposkytuje příliš důvodů k optimismu. Velké centralizované systémy identity a databáze se opakovaně staly cílem útoků a úniků dat, které zasáhly miliony uživatelů. V tomto kontextu není nasazení systému se známými slabinami jen technickým problémem, je to problém důvěry a správy veřejných prostředků.
Řekněme si to tedy otevřeně:
Tohle není skutečná ochrana uživatelů. Je to křehká implementace systému, který pracuje s vysoce citlivými daty.
Skutečná otázka nezní, zda budou takové slabiny zneužity.
Otázka zní kdy a v jakém rozsahu.
Pokud chce EU pokračovat v prosazování digitální identity, bezpečnost nesmí být něco, co se „doladí později“. Musí být základním principem, nezávisle testovaným a odolným už od návrhu.
Jinak se systémy, které mají uživatele chránit, mohou stát právě tím, co je nejvíce ohrozí.
