Η εφαρμογή επαλήθευσης ηλικίας της ΕΕ παρακάμφθηκε σε 2 λεπτά
Στις 15 Απριλίου 2026, η Ευρωπαϊκή Επιτροπή παρουσίασε με μεγάλες δηλώσεις μια δωρεάν, open source εφαρμογή για επαλήθευση ηλικίας χρηστών στο διαδίκτυο. Η πρόεδρος Ursula von der Leyen την χαρακτήρισε «τεχνικά έτοιμη» και εναρμονισμένη με τα «υψηλότερα πρότυπα ιδιωτικότητας». Λίγες ώρες μετά την ανακοίνωση, ο Βρετανός σύμβουλος ασφαλείας Paul Moore ανέβασε βίντεο στο X που έδειχνε πλήρη παράκαμψη της εφαρμογής σε λιγότερο από δύο λεπτά.
Γιατί υπάρχει αυτή η εφαρμογή
Το σκεπτικό είναι απλό. Πολλές πλατφόρμες, κυρίως κοινωνικά δίκτυα και ιστοσελίδες ενηλίκων, υποχρεούνται πλέον από την ευρωπαϊκή νομοθεσία (Digital Services Act) να ελέγχουν αν οι χρήστες τους είναι ενήλικες. Οι υπάρχοντες τρόποι επαλήθευσης συνήθως σε αναγκάζουν να ανεβάσεις ταυτότητα ή διαβατήριο σε κάποιον server τρίτης εταιρείας, κάτι που είναι εύλογα ανησυχητικό για την ιδιωτικότητά σου.
Η εφαρμογή της ΕΕ υπόσχεται να το λύσει αυτό: ο έλεγχος γίνεται τοπικά στη συσκευή σου, η πλατφόρμα που επισκέπτεσαι παίρνει μόνο μια επιβεβαίωση «ναι, είναι ενήλικας», και τίποτα παραπάνω. Στα χαρτιά, είναι μια έξυπνη ιδέα.
Πώς ακριβώς έγινε η παράκαμψη
Κατά τη ρύθμιση της εφαρμογής, ο χρήστης ορίζει ένα PIN. Αυτό το PIN αποθηκεύεται κρυπτογραφημένο σε ένα αρχείο ρυθμίσεων στη συσκευή. Το κρίσιμο πρόβλημα είναι ότι η κρυπτογράφηση αυτή δεν συνδέεται με το «θησαυροφυλάκιο» όπου φυλάσσονται τα πραγματικά στοιχεία επαλήθευσης.
Αυτό στην πράξη σημαίνει: αν κάποιος έχει πρόσβαση στη συσκευή σου, μπορεί να ανοίξει αυτό το αρχείο, να σβήσει τις τιμές του PIN και να ορίσει νέο. Μετά ανοίγει κανονικά την εφαρμογή και βλέπει το ήδη επαληθευμένο προφίλ σου σαν να είναι δικό του.
Δύο ακόμα προβλήματα στο ίδιο αρχείο: ο μετρητής που περιορίζει τις λανθασμένες προσπάθειες εισαγωγής PIN είναι ένας απλός αριθμός που μπορεί να μηδενιστεί κατά βούληση. Και η βιομετρική αυθεντικοποίηση (δακτυλικό αποτύπωμα, αναγνώριση προσώπου) ενεργοποιείται ή απενεργοποιείται από μια τιμή στο ίδιο αρχείο. Αλλάζεις την τιμή, παρακάμπτεις και αυτό.
Ο Moore απευθύνθηκε δημόσια στη von der Leyen: «Αυτό το προϊόν θα είναι η αιτία μιας τεράστιας παραβίασης δεδομένων, κάποια στιγμή. Είναι θέμα χρόνου.» Τα ευρήματά του επιβεβαίωσε ανεξάρτητα ο Γάλλος whitehat ερευνητής Baptiste Robert, ο οποίος μίλησε στο Politico.
Το πρόβλημα είναι βαθύτερο από ένα bug
Πέρα από το συγκεκριμένο κενό ασφαλείας, ανάλυση του Μαρτίου 2026 έδειξε κάτι πιο θεμελιώδες: το σύστημα δεν μπορεί να επιβεβαιώσει αν η αρχική επαλήθευση διαβατηρίου έγινε πραγματικά στη συσκευή. Για να διορθωθεί αυτό, θα χρειαστεί να στέλνονται κρυπτογραφικά δεδομένα σε κάποιον server, κάτι που καταρρίπτει την ίδια την υπόσχεση ιδιωτικότητας που έδωσε η Κομισιόν.
Αξίζει να σημειωθεί ότι πάνω από 400 ερευνητές ασφαλείας και ιδιωτικότητας από 29 χώρες είχαν ήδη από τον Μάρτιο 2026 στείλει ανοιχτή επιστολή ζητώντας παύση της ανάπτυξης τέτοιων συστημάτων μέχρι να υπάρξει επιστημονική συμφωνία για τη βιωσιμότητά τους.
Αυτό είναι το πρακτικό αποτέλεσμα της βιασύνης: τα θεμελιώδη σχεδιαστικά προβλήματα δεν λύνονται με μια απλή ενημέρωση.
Τι σημαίνει αυτό για τον απλό χρήστη
Αν κάποια πλατφόρμα σε στείλει να επαληθεύσεις την ηλικία σου μέσω αυτής της εφαρμογής, τα στοιχεία σου εξαρτώνται από ένα σύστημα που έχει ήδη αποδειχθεί ότι παρακάμπτεται. Δεν χρειάζεται κάποιος να είναι ειδικός για να το εκμεταλλευτεί. Η όλη διαδικασία διαρκεί δύο λεπτά και δεν απαιτεί κάποια ιδιαίτερη τεχνογνωσία.
Η Κομισιόν, όταν πιέστηκε από δημοσιογράφους, είπε ότι «είναι έτοιμη, και μπορεί πάντα να βελτιωθεί» και διευκρίνισε ότι «είναι ακόμα demo version». Δηλαδή, παρουσίασαν δημόσια σαν έτοιμο προϊόν κάτι που οι ίδιοι παραδέχονται ότι δεν είναι.
Η άποψή μας
Η ιδέα πίσω από την εφαρμογή είναι σωστή. Το πρόβλημα δεν είναι το «τι» αλλά το «πώς» και το «πότε». Μια εφαρμογή που διαχειρίζεται ευαίσθητα δεδομένα ταυτότητας εκατομμυρίων Ευρωπαίων δεν παρουσιάζεται σαν «έτοιμη» χωρίς να έχει περάσει πρώτα από αξιόπιστο έλεγχο ασφαλείας. Αυτό δεν είναι τεχνική λεπτομέρεια, είναι βασική αρχή.
Το θετικό είναι ότι η εφαρμογή είναι open source, οπότε η κοινότητα ασφαλείας μπορεί να συνεχίσει να την ελέγχει δημόσια. Αυτός ο έλεγχος όμως έπρεπε να είχε γίνει πριν την επίσημη ανακοίνωση, όχι μετά.
Συχνές Ερωτήσεις
Τι κάνει η εφαρμογή επαλήθευσης ηλικίας της ΕΕ;
Επιτρέπει στους χρήστες να αποδεικνύουν ότι είναι ενήλικες σε πλατφόρμες που το απαιτούν, χωρίς να χρειάζεται να μοιραστούν τα προσωπικά τους στοιχεία με κάθε ιστοσελίδα ξεχωριστά. Ο έλεγχος γίνεται τοπικά στη συσκευή μέσω διαβατηρίου, ταυτότητας ή αξιόπιστης υπηρεσίας όπως τράπεζα.
Ποιος εντόπισε το πρόβλημα ασφαλείας;
Ο Βρετανός σύμβουλος ασφαλείας Paul Moore, ο οποίος δημοσίευσε βίντεο παράκαμψης στο X. Τα ευρήματά του επιβεβαίωσε ανεξάρτητα ο Γάλλος whitehat ερευνητής Baptiste Robert μιλώντας στο Politico.
Χρειάζονται προηγμένες γνώσεις για να εκμεταλλευτεί κάποιος την ευπάθεια;
Όχι. Αρκεί η πρόσβαση στη συσκευή και η επεξεργασία ενός αρχείου ρυθμίσεων. Η όλη διαδικασία ολοκληρώνεται σε λιγότερο από δύο λεπτά.
Η Κομισιόν έχει διορθώσει το πρόβλημα;
Αρχικά το υποβάθμισε χαρακτηρίζοντας την εφαρμογή «demo version», παρά τις αρχικές δηλώσεις για «έτοιμο προϊόν». Σύμφωνα με το Proton, η Κομισιόν ανακοίνωσε αργότερα ότι το ζήτημα διορθώθηκε, αλλά οι ειδικοί επισημαίνουν ότι τα βαθύτερα αρχιτεκτονικά προβλήματα παραμένουν.
Τι είναι το Digital Services Act και γιατί αφορά αυτή την εφαρμογή;
Είναι ο ευρωπαϊκός νόμος που υποχρεώνει πλατφόρμες να ελέγχουν την ηλικία των χρηστών τους. Η εφαρμογή της ΕΕ παρουσιάστηκε ως το επίσημο εργαλείο συμμόρφωσης με αυτόν τον νόμο.
