Birleşik Krallık merkezli tanınmış güvenlik danışmanı Paul Moore, uygulamanın kimlik doğrulama mekanizmasını inanılması güç bir hızla, sadece iki dakikadan daha kısa bir sürede aşmayı başardığını duyurdu. Moore’un bu çarpıcı açıklaması, siber güvenlik camiasında büyük bir şaşkınlık ve endişe yarattı. Yapılan detaylı incelemeler sonucunda, uygulamanın temel mimarisinde ciddi tasarım hataları ve kritik güvenlik açıkları tespit edildi. Bu durum, uygulamanın sadece basit bir hatadan ibaret olmadığını, aynı zamanda tüm sistemin güvenilirliğini derinden sarsan bir başarısızlık olduğunu gözler önüne serdi.
Avrupa Birliği Yaş Doğrulama Neler Sunuyor?
Uygulamanın mevcut durumu, özellikle Fransa, İspanya ve Danimarka gibi altı Avrupa Birliği üye ülkesinde devam eden pilot uygulamalar açısından büyük bir risk oluşturuyor. Bu ülkelerde uygulamanın yaygın kullanımı, güvenlik açıklarının kötü niyetli kişiler tarafından istismar edilme potansiyelini artırıyor. Avrupa Komisyonu’nun 17 Nisan 2026 itibarıyla henüz resmi bir yama yayınlamamış veya konuyla ilgili herhangi bir açıklama yapmamış olması, durumun ciddiyetini daha da artırıyor ve kamuoyunda endişe yaratıyor.
Araştırmacılar tarafından yapılan teknik analizler, uygulamanın kullanıcı tarafından oluşturulan PIN kodunu cihazdaki yerel bir yapılandırma dosyasında şifreli bir şekilde sakladığını ortaya çıkardı. Ancak, bu şifrelemenin son derece zayıf olduğu ve kolayca manipüle edilebildiği belirlendi. Fiziksel erişime sahip bir saldırgan, shared_prefs dosyasındaki PinEnc ve PinIV değerlerini basitçe silerek uygulamayı yeni bir PIN ile tekrar başlatabiliyor. Bu yöntemle, saldırganlar orijinal kimlik bilgilerini kendi belirledikleri yeni bir şifre altında geçerli kılarak, herhangi bir uyarı tetiklemeden kimlik hırsızlığı gerçekleştirebiliyor. Sistemin kimlik kasası ile PIN kodu arasında güvenilir bir kriptografik bağın bulunmaması, bu türden bir sızma işlemini oldukça kolaylaştırıyor ve uygulamanın güvenliğini ciddi şekilde tehlikeye atıyor.
Güvenlik açıkları sadece PIN koduyla sınırlı kalmıyor. Aynı dosya içinde bulunan kaba kuvvet (brute-force) korumasının da kolayca devre dışı bırakılabildiği tespit edildi. Saldırganlar, deneme sayısını tutan sayacı sıfırlayarak sınırsız sayıda şifre denemesi yapma imkanına sahip oluyor. Bu durum, uygulamanın şifreleme mekanizmasının ne kadar yetersiz olduğunu ve saldırılara karşı ne kadar savunmasız olduğunu açıkça gösteriyor.
Ayrıca, biyometrik doğrulamayı kontrol eden UseBiometricAuth adlı bayrak değerinin değiştirilmesiyle parmak izi veya yüz tanıma gibi ek güvenlik adımları da tamamen atlanabiliyor. Bu durum, uygulamanın sunduğu tüm güvenlik katmanlarının tek bir dosya düzenlemesiyle geçersiz kılınabildiğini ve kullanıcıların kişisel verilerinin ciddi bir risk altında olduğunu ortaya koyuyor.
Mart 2026’da keşfedilen bir başka kritik hata ise sistemin pasaport doğrulamasının cihaz üzerinde gerçekten yapılıp yapılmadığını kontrol edemediğini gösterdi. Bu durum, sahte veya manipüle edilmiş pasaport bilgilerinin sisteme kolayca yüklenebileceği ve kimlik doğrulama sürecinin tamamen atlatılabileceği anlamına geliyor. Paul Moore, Avrupa Komisyonu Başkanı Ursula von der Leyen’e doğrudan seslenerek bu ürünün büyük bir veri ihlaline yol açabileceği konusunda ciddi bir uyarıda bulundu.
Avrupa Dijital Kimlik Cüzdanı ekosistemi için bir prototip niteliği taşıyan bu uygulamanın geleceği, yaşanan bu ciddi güvenlik zafiyetleri nedeniyle büyük bir tartışma konusu haline geldi. Bu türden güvenlik açıkları, dijital kimlik uygulamalarının güvenilirliği ve kişisel verilerin korunması konusunda kamuoyunda ciddi endişelere yol açıyor. Siber güvenlik uzmanları, bu tür uygulamaların geliştirilmesi ve uygulanması sürecinde çok daha titiz ve dikkatli olunması gerektiğini vurguluyorlar.
Bu olay, dijitalleşmenin getirdiği kolaylıkların yanı sıra, beraberinde getirdiği güvenlik risklerini de gözler önüne seriyor. Avrupa Birliği’nin bu uygulamayı daha güvenli hale getirmek için acil önlemler alması ve gelecekteki projelerde güvenlik konusuna daha fazla önem vermesi gerekiyor. Aksi takdirde, benzer güvenlik ihlalleri yaşanmaya devam edebilir ve kullanıcıların dijital kimliklere olan güveni sarsılabilir.
Sizce dijital kimlik uygulamaları kişisel verilerimizi korumak için yeterince güvenli mi? Bu türden güvenlik açıkları, dijitalleşmeye olan bakış açımızı nasıl etkiliyor? Avrupa Birliği’nin bu olaydan çıkaracağı dersler neler olmalı?
