Основатель Telegram Павел Дуров раскритиковал приложение Евросоюза для проверки возраста, заявив, что оно изначально построено на уязвимой архитектуре и может стать шагом к расширению цифрового контроля. Поводом для его комментария стала статья на Cybernews о том, что систему удалось обойти менее чем за две минуты.
Еврокомиссия представила приложение для подтверждения возраста в интернете, рассчитанное на то, чтобы пользователи могли проходить проверку без передачи личных данных сайтам. Власти ЕС подчёркивали, что решение должно снизить объём сбора чувствительной информации и соответствовать высоким стандартам конфиденциальности. Председатель Еврокомиссии Урсула фон дер Ляйен ранее назвала разработку технически совершенной и прозрачной благодаря открытому исходному коду
Однако вскоре после запуска специалисты по кибербезопасности заявили о наличии серьёзных недостатков. Консультант по безопасности Пол Мур сообщил, что система хранит зашифрованный PIN-код локально, но не связывает шифрование с хранилищем идентификационных данных. По его словам, это открывает возможность обхода защиты через изменение конфигурационных параметров, включая сброс ограничений попыток ввода и отключение биометрической проверки.
Дуров в своём заявлении связал ситуацию с более широкими последствиями регулирования цифровой идентификации в ЕС. Он отметил, что приложение опирается на данные устройства, что делает систему принципиально уязвимой. По его словам, подобная архитектура может использоваться как промежуточный этап: сначала создаётся инструмент, заявленный как защищающий приватность, затем после выявления уязвимостей появляются основания для расширения механизмов контроля.
Ранее пользователь «Хабра» проанализировал альтернативный Telegram-клиент «Телега» (Telega) и заявил, что оператор сервиса может получать полный доступ к переписке и файлам пользователей, выступая полноценной стороной шифрования. Пользователь заявляет, что приложение взаимодействует не с серверами Telegram, а с инфраструктурой АО «Телега». По его словам, секретные чаты либо не функционируют, либо могут быть уязвимы. В коде приложения обнаружены механизмы модерации и сбора данных.
