Het ambitieuze plan van de Europese Unie om minderjarigen online te beschermen via een gecentraliseerde app voor leeftijdsverificatie wordt intensief onderzocht. Na de recente aankondiging werd het initiatief getroffen door beschuldigingen van fundamentele veiligheidsfouten, waarbij Telegram-oprichter Pavel Durov beweerde dat het systeem binnen slechts twee minuten in gevaar kon worden gebracht.
Het kernconflict: veiligheid versus toezicht
De Europese Commissie heeft de app geïntroduceerd met als doel digitale platforms verantwoordelijk te houden en voorrang te geven aan de veiligheid van kinderen boven commerciële winst. Volgens het voorgestelde systeem zouden gebruikers een erkend identiteitsbewijs van de overheid, zoals een paspoort, moeten overleggen om toegang te krijgen tot verschillende onlinediensten.
Critici beweren echter dat het mechanisme dat bedoeld is om kinderen te beschermen in feite een enorm beveiligingsprobleem kan creëren.
- Het ‘vertrouwensprobleem’: Pavel Durov bekritiseerde de architectuur van de app en noemde deze een ‘bewakingsinstrument’. Hij betoogde dat het systeem ‘door zijn ontwerp te hacken’ is, omdat het afhankelijk is van het vertrouwen in het apparaat van de gebruiker. Een kwetsbaarheid die volgens hem de veiligheid van het hele systeem ‘instant game over’ maakt.
- Het vrijheidsargument: Afgezien van de technische details suggereerde Durov dat de drang naar dergelijke instrumenten als voorwendsel voor bureaucraten dient om de digitale vrijheden geleidelijk uit te hollen.
Technische waarschuwingssignalen: encryptie en gegevensopslag
Terwijl voorzitter van de Europese Commissie, Ursula von der Leyen, de app heeft verdedigd en erop heeft aangedrongen dat deze voldoet aan de “hoogste privacynormen” en “volledig anoniem” blijft, ontdekken beveiligingsonderzoekers discrepanties tussen deze beweringen en de daadwerkelijke prestaties van de app.
Ondanks dat de app open source is en publieke inspectie van de code mogelijk maakt, hebben de eerste tests aanzienlijke privacyrisico’s aan het licht gebracht:
- Niet-versleutelde gegevens: Beveiligingsadviseur Paul Moore meldde een “ernstig privacyprobleem” met betrekking tot de manier waarop de app omgaat met gevoelige documenten.
- Persistente afbeeldingen: Moore merkte op dat de bronafbeeldingen die voor verificatie worden gebruikt (paspoorten, ID’s of selfies) niet gecodeerd zijn en, cruciaal, niet correct van het apparaat kunnen worden verwijderd.
- De risicofactor: Het achterlaten van niet-versleutelde biometrische afbeeldingen en identiteitsafbeeldingen op de schijf van een apparaat vormt een waardevol doelwit voor hackers, waardoor gebruikers mogelijk worden blootgesteld aan identiteitsdiefstal.
Het antwoord van de Commissie
De Europese Commissie heeft haar plannen niet ingetrokken, hoewel zij de noodzaak van verfijning heeft erkend. Een woordvoerder van de Commissie verduidelijkte dat de huidige versie een demo is, wat suggereert dat hoewel de technologie “klaar” is, deze nog steeds onderhevig is aan voortdurende verbetering.
Op dit moment is er nog geen officiële lanceringsdatum vastgesteld, waardoor de toekomst van het initiatief in een staat van onzekerheid blijft nu het debat tussen digitale veiligheid en individuele privacy heviger wordt.
Conclusie
De controverse benadrukt een groeiende spanning in het digitale bestuur: de moeilijkheid om robuuste leeftijdsverificatie te implementeren zonder gecentraliseerde databases van gevoelige biometrische gegevens te creëren die kwetsbaar zijn voor uitbuiting.
