Laikai tampa skaitmeniniai ir daugelis žmonių nori turėti savo įprastus dokumentus virtualioje formoje. Tam jau yra daug įvairių programų ir įrankių, įskaitant s Pen„Google“ paskyra arba Samsung WalletKai kurios šalys taip pat turi savo alternatyvas, pavyzdžiui, Čekijoje tai yra „eDoklady“. Ir su savo variaEuropos Sąjunga prieš kelias dienas taip pat šventė naujo įstatymo, skirto visiems ES piliečiams, įsigaliojimą. Netrukus jis tapo pasauline gėda.
Programos, kuriose yra Europos Sąjungos piliečių dokumentai, kuria jie galėtų įrodyti savo vertę kelyje ir savo šalyje, yra puiki idėja. Tačiau ji turi tinkamai veikti. Be to, ji turi atitikti aukščiausius saugumo standartus. Europos Komisijos pirmininkė Ursula von der Leyen neseniai pristatytoje programėlėje. ES skaitmeninė tapatybė Wallet Ji teigė esanti labai saugi ir apsauganti vartotojų privatumą. Tačiau jau kitą dieną ji buvo pažeista.
4 milijonų eurų paraiška
ES skaitmeninės tapatybės programėlės kūrimas Wallet (EUDI Wallet) stovėjo daugiau nei 4 milijonai eurų ir ją remia Švedijos bendrovė „Scytáles“ ir „Deutsche Telekom“. ES vartotojai gali įkelti savo asmens tapatybės korteles, vairuotojo pažymėjimus, sertifikatus, diplomus ir daugelį kitų asmens dokumentų. Jų pagalba jie gali ne tik patvirtinti savo tapatybę valdžios institucijoms ar policijai, bet ir naudoti programėlę. amžiaus patvirtinimas socialiniuose tinkluose ar kitose internetinėse platformose.
Privalumas yra tas, kad įrodinėjant amžių, programa negauna tikslių duomenų apie vartotoją, bet gauna oficialų patvirtinimą, kad jis yra pakankamai senas, kad atitiktų registracijos taisykles. Tačiau kūrėjai padarė vieną esminę klaidą – jie sukūrė programą taip, kad... atviro kodoTai reiškia, kad jos kodas yra viešai prieinamas, ir, anot Europos Komisijos vadovo, tai aiškiai rodo programos patikimumą. Tačiau tai taip pat leidžia ja lengvai piktnaudžiauti.
Nuotraukų galerija
Britų saugumo konsultantas Paulas Moore'as atsisiuntė ES skaitmeninės tapatybės failą Wallet APK iš „GitHub“, kodas buvo priimtas ir jo metu 2 minutės jam pavyko apeiti visas saugumo taisykles tiesiog pakeičiant vieną dalį. Jis nenaudojo jokių įsilaužėlių triukų, tiesiog panaudojo savo IT žinias.
Jis suprato, kad mobiliajame telefone su „Android“ jums tereikia rasti išsaugotą PIN kodą, ištrinkite jį, paleiskite programą iš naujo ir pakeiskite jį savo kodu. Ir kelias į vartotojo duomenis staiga tampa laisvas. Taip pat yra neteisingai įvestų PIN kodų skaitiklis, kuris turėtų sustabdyti užpuoliką po kelių nesėkmingų bandymų, tačiau jis taip pat saugomas tame pačiame faile – tad tereikia jį nustatyti iš naujo ir pradėti iš naujo.
Ir išgelbėjo biometriniai duomenys reikami registracijai? Jie išsaugomi kaip nešifruoti PNG failai tiesiai į telefono atmintį. Dar blogiau, Moore'as pademonstravo, kad net amžiaus patvirtinimą galima apgauti tiesiog sugeneravus QR kodą.
Įsilaužimas į #EU #AmžiausPatvirtinimas app per mažiau nei 2 minutes.
Sąrankos metu app prašo susikurti PIN kodą. Įvedus kodą, app *užšifruoja* jį ir išsaugo jį shared_prefs kataloge.
1. Jis visiškai neturėtų būti šifruojamas – tai tikrai prastas dizainas.
2. Tai ne… https://t.co/z39qBdclC2 pic.twitter.com/FGRvWtWzaZ— Paul Moore – saugumo konsultantas (@Paul_Reviews) Balandis 16, 2026
Jis paskelbė viso proceso vaizdo įrašą X tinkle, ir Europos Komisija staiga susigėdo. Tariamai maxItin saugi programėlė, kurioje turėtų būti saugoma daugiausia asmeninių piliečių duomenų, akivaizdžiai yra tokia pat nesandari kaip kiaurasamtis. Europos Komisija iškart suskubo paaiškinti, kodėl ją taip lengva sulaužyti. Teigiama, kad tai tik demonstracinė versija ir ne stabili programa, bet „GitHub“ paskelbtas kodas rodo ką kita. Kitą dieną kūrėjų kompanija išleido pataisą. Tačiau dabar prie EUDI tikriausiai turės nedaugelis žmonių. Wallet pakankamai pasitikėjimo, kad įkeltų į jį savo dokumentus.
