Avrupa Birliği’nin (AB) çocukları sosyal medyanın zararlı içeriklerinden korumak amacıyla büyük umutlarla duyurduğu yaş doğrulama uygulaması, piyasaya çıkmadan ciddi bir güvenlik krizinin merkezine oturdu. Siber güvenlik uzmanları, Brüksel tarafından geliştirilen yazılımın kodlarında “kabul edilemez ve bariz” açıklar bulunduğunu belirterek projeyi sert dille eleştirdi.
Von der Leyen “Hazır” Dedi, Uzmanlar “Açıkları” Buldu
Avrupa Komisyonu Başkanı Ursula von der Leyen, geçtiğimiz günlerde Brüksel’de yaptığı tanıtımda sistemin “teknik olarak hazır” olduğunu ve kısa süre içinde yayına alınacağını müjdelemişti. Sistemin şeffaflık ilkesi gereği açık kaynak kodlu olduğunu vurgulayan von der Leyen, “Herkes kodu inceleyebilir ve güvenilirliğini teyit edebilir” diyerek uzmanlara dolaylı bir davette bulunmuştu.
Ancak bu davet, AB için beklenmedik bir halkla ilişkiler krizine dönüştü. Dünyanın dört bir yanından siber güvenlik araştırmacıları, GitHub’da paylaşılan kodları mercek altına aldı ve sistemin temel tasarımında kritik hatalar tespit etti.
“Sıfır Bilgi” Vaadi Sınıfta mı Kaldı?
Uygulama, teknik olarak bir “Dijital Kimlik Doğrulama Aracı” olarak tasarlandı. Kullanıcılar pasaport, kimlik kartı veya banka bilgileriyle sisteme giriş yapıyor; ancak uygulama, sosyal medya platformuna kullanıcının gerçek kimliğini değil, yalnızca “18 yaşından büyüktür” onayını gönderiyor. Kriptografide zero−knowledgeproof (sıfır bilgi kanıtı) olarak bilinen bu yöntemle, mahremiyetin korunması hedefleniyordu.
İsveçli Scytáles ve Alman Deutsche Telekom ortaklığında 4 milyon euroluk bir ihale ile geliştirilen projede tespit edilen bazı teknik kusurlar şunlar:
Zayıf PIN Koruması: Güvenlik danışmanı Paul Moore, sistemin hassas verileri telefonda korumasız sakladığını ve PIN mekanizmasının 2 dakikadan kısa sürede aşılabildiğini iddia etti. Moore’a göre, bir saldırgan telefonun içindeki dosyaya müdahale ederek PIN’i sıfırlayabiliyor ancak eski kullanıcının doğrulanmış kimlik bilgileri sistemde kalmaya devam ediyor.
Biyometrik Açıklar: Fransız etik hacker Baptiste Robert, uygulamanın parmak izi veya yüz tanıma gibi biyometrik doğrulama adımlarının kolayca bypass edilebildiğini öne sürdü.
Yetki Devri Riski: Kriptografi uzmanı Olivier Blazy, sistemin “kişiye özel” olma özelliğinin zayıflığına dikkat çekerek, “Ben doğrulama yaptıktan sonra telefonumu yeğenime verdiğimde, uygulama onun 18 yaş üstü olduğunu varsaymaya devam ediyor” dedi.
Brüksel’in Savunması: “O Kodlar Eski Demo”
Eleştirilerin odağındaki Avrupa Komisyonu ise geri adım atmıyor. Dijital Politikalar Sözcüsü Thomas Regnier, uzmanların incelediği kodların “eski bir demo versiyona” ait olduğunu ve hataların giderildiğini savundu. Ancak uzmanlar, incelemelerini GitHub’daki en güncel sürüm üzerinden yaptıklarını belirterek bu açıklamayı yalanladı. Regnier, “Final versiyon dediğimiz şey aslında hala geliştirilmekte olan bir süreçtir” diyerek uygulamanın henüz mükemmel olmadığını kabul etti.
Siyasi Baskı Güvenliğin Önüne mi Geçti?
Projenin aceleye getirildiğini düşünenlerin sayısı az değil. Avrupa Parlamentosu milletvekili Markéta Gregorová, sürecin tamamen siyasi baskılarla hızlandırıldığını savunurken; Alman siyasetçi Birgit Sippel, uygulamayı “AB’nin kendi siber güvenlik standartlarının bile altında kalan yarım yamalak bir çözüm” olarak nitelendirdi.
Liderler Zirvesinde “Dijital Kalkan” Mesaisi
Tartışmalar sürerken, Fransa Cumhurbaşkanı Emmanuel Macron konuyu Avrupa’nın en önemli gündem maddelerinden biri haline getirdi. Macron’un ev sahipliği yaptığı video zirvesine İtalya Başbakanı Giorgia Meloni, İspanya Başbakanı Pedro Sánchez ve Almanya Başbakanı Friedrich Merz gibi isimler katılarak çocukların dijital dünyada korunması için ortak bir strateji geliştirmeyi görüştü.
Uzmanların Uyarı Notu:
400’den fazla siber güvenlik ve kriptografi uzmanı, Mart ayında yayınladıkları açık mektupta; bu tür teknolojilerin toplumsal ve teknik etkileri netleşene kadar projenin askıya alınması (moratoryum) çağrısında bulunmuştu.
Şimdi gözler, AB’nin bu teknik eleştiriler doğrultusunda uygulamada köklü bir değişikliğe gidip gitmeyeceğine çevrilmiş durumda. Uzmanlar uyarıyor: “Güvensiz bir dijital kimlik sistemi, hiç sistem olmamasından daha tehlikelidir.”
Editörün Notu: Dijital Güven ile Mahremiyet Arasındaki İnce Çizgi
Avrupa Birliği’nin yaş doğrulama girişimi, sadece çocukları koruma amacı taşıyan teknik bir araç değil, aynı zamanda “Dijital Kimlik (e-ID)” ekosisteminin ilk ve en kritik sınavlarından biridir. Siber güvenlik uzmanlarının sunduğu kanıtlar, projenin henüz emekleme aşamasında olduğunu ve “güvenlik” vaadinin “hız” beklentisine kurban edildiğini gösteriyor.
Buradaki temel risk sadece bir çocuğun yaş kısıtlamasını aşması değildir; asıl tehlike, milyonlarca vatandaşın en hassas kimlik verilerinin (pasaport, biyometrik veri vb.) emanet edildiği bir sistemin istismar edilmesidir. Eğer devletler veya uluslararası kurumlar, geliştirdikleri uygulamalarda en temel şifreleme protokollerini bile koruyamazlarsa, toplumun dijital dönüşüme ve devlet eliyle yürütülen dijital kimlik projelerine olan güveni geri dönülemez şekilde sarsılabilir.
Haberde bahsi geçen “Sıfır Bilgi Kanıtı” (Zero-Knowledge Proof) teoride devrimsel bir mahremiyet aracıdır; ancak bu teknoloji, ancak kodun kendisi kadar güvenlidir. AB’nin bu kriz karşısında vereceği yanıt, önümüzdeki yıllarda internetin ne kadar “özgür” veya ne kadar “denetimli” olacağının da sınırlarını belirleyecektir.