Az EU korellenőrző alkalmazását kevesebb mint két perccel a bemutatás után feltörték
2026. 04. 20. 19:33:47
Az Európai Bizottság 2026. április 15-én, szerdán mutatta be új, internetes korellenőrzésre szolgáló alkalmazását. A cél az volt, hogy a felhasználók úgy tudják igazolni nagykorúságukat online szolgáltatásoknál, hogy közben ne kelljen személyes adataikat megosztaniuk.
Az ígéret szerint az alkalmazás lehetővé teszi, hogy például közösségi oldalak vagy más platformok csak azt lássák: a felhasználó egy adott korhatár felett vagy alatt van-e. A rendszer nem adja át a születési dátumot, nevet vagy más személyes információt.
A működés elve a következő:
- a felhasználó az útlevelével vagy személyi igazolványával igazolja magát,
- a rendszer ezután egy úgynevezett életkori tanúsítványt állít ki,
- a platformok ezt a tanúsítványt ellenőrzik, és csak az életkori megfelelést látják.
Az alkalmazást Ursula von der Leyen, az Európai Bizottság elnöke és Henna Virkkunen ügyvezető alelnök mutatta be. A bemutatón „ingyenes és felhasználóbarát megoldásként” hivatkoztak rá, amely segíthet a platformokat felelősségre vonni a gyermekek védelme érdekében. Von der Leyen az X közösségi oldalon azt írta, hogy az alkalmazás „a világ legszigorúbb adatvédelmi szabványainak” fog megfelelni, és teljes egészében nyílt forráskódú lesz. Jelenleg hat EU-tagállam — köztük Franciaország, Spanyolország és Dánia — teszteli a rendszert.
A digitális szolgáltatásokról szóló uniós jogszabály (DSA) szerint a platformok nem kötelesek ezt az alkalmazást használni, viszont bizonyítaniuk kell, hogy saját korellenőrzési megoldásuk legalább ugyanilyen hatékony. Ha ezt nem tudják igazolni, szankciókra számíthatnak — ezt Thomas Regnier, az Európai Bizottság szóvivője is megerősítette.
A „kétperces feltörés”
A pozitív fogadtatás azonban rövid ideig tartott. 2026. április 16-án Paul Moore brit biztonsági tanácsadó bemutatta, hogy az alkalmazás hitelesítési rendszere teljes egészében megkerülhető. A beszámolók szerint mindehhez csupán egy egyszerű szövegszerkesztő programra volt szüksége, és a folyamat kevesebb mint két percig tartott. A probléma oka az volt, hogy az alkalmazás több biztonsági beállítást egy helyileg tárolt, szerkeszthető konfigurációs fájlban mentett el. Ebben a fájlban szerepelt például:
- a PIN-kód titkosításának kezelése,
- a brute-force támadások elleni próbálkozásszámláló,
- valamint a biometrikus azonosítás be- és kikapcsolásának állapota.
Moore egyszerűen törölt két értéket ebből a fájlból, majd újraindította az alkalmazást. Ennek eredményeként új PIN-kódot tudott beállítani, és teljes hozzáférést szerzett a rendszerhez. A kutató ezután még tovább ment: az alkalmazás hitelesítési logikáját egy böngészőbővítménybe másolta át. Ezzel képes volt olyan hamis korellenőrzési válaszokat generálni, amelyeket az online platformok valódi, érvényes igazolásként fogadtak el. Ez különösen súlyos problémát jelent, mert így a támadónak nem kell fizikailag hozzáférnie a felhasználó eszközéhez. Moore nyilvánosan figyelmeztette Ursula von der Leyent, kijelentve:
„Ez a termék idővel egy hatalmas adatszivárgás katalizátora lesz — csak idő kérdése.”
A gondok nem itt kezdődtek. Már 2026 márciusában egy másik, architekturális szintű hibát is találtak a nyílt forráskódú rendszerben. Ez a hiba arra utalt, hogy a rendszer valójában nem tudja ellenőrizni, ténylegesen megtörtént-e az útlevél ellenőrzése a felhasználó készülékén. 2026. április 17-ig az Európai Bizottság sem javítást, sem hivatalos nyilvános reakciót nem adott ki a feltárt biztonsági problémákra.
A szakértők már korábban figyelmeztettek
Az alkalmazás problémás indulása nem érte teljesen váratlanul a szakmai közösséget. 2026 márciusának elején 32 országból összesen 438 biztonsági és adatvédelmi kutató írt alá egy nyílt levelet. Ebben azt állították, hogy az általános korellenőrzési kötelezettségek:
- technikailag nehezen megvalósíthatók,
- könnyen megkerülhetők,
- komoly adatvédelmi és biztonsági kockázatokat jelentenek,
- és nagy valószínűséggel több kárt okoznak, mint hasznot.
A levél egy korábbi esetre is hivatkozott: egy korbecslési hibával kapcsolatos fellebbezési folyamat során mintegy 70 000 felhasználó személyi igazolványáról készült fénykép vált hozzáférhetővé, amikor a felhasználók egy online platformon próbálták igazolni életkorukat. Az European Digital Rights nevű digitális jogvédő szervezet a kötelező korellenőrzést „kalapácsos megközelítésnek” nevezte. Véleményük szerint az ilyen rendszerek növelik az adatvédelmi incidensek és a tömeges megfigyelés kockázatát.
