欧盟新年龄验证应用被曝两分钟可破解
欧盟委员会于本周发布一款免费开源的年龄验证应用程序,旨在强化对社交媒体及色情网站用户年龄的核查。欧洲委员会主席冯德莱恩在新闻发布会上表示,该应用将使平台“无借口”逃避年龄验证责任。
然而,安全专家迅速指出该应用存在严重安全漏洞。安全顾问保罗·摩尔在社交平台X上称,他能在不到两分钟内攻破该应用,主要漏洞在于应用存储用户自设PIN码的方式,使攻击者可轻易接管用户账户。白帽黑客巴蒂斯特·罗伯特向Politico证实了该漏洞的存在。摩尔警告称,该产品“终将引发重大数据泄露事件,只是时间问题”。
与此同时,欧洲最大健身连锁Basic-Fit于周一确认发生重大数据泄露,约百万名用户银行信息被窃取,其中荷兰约20万名会员受影响。泄露数据包括姓名、地址、电话、邮箱及出生日期,但未涉及密码。Basic-Fit称其未存储用户密码。
同日,全球酒店预订平台Booking.com也确认遭遇数据泄露,黑客可能获取了用户姓名、邮箱、电话及预订信息。公司称已发现可疑活动并采取措施遏制,但未透露泄露范围。公司声明称未丢失财务信息。
社交平台Bluesky于周四遭遇分布式拒绝服务攻击,服务中断数小时。公司称攻击始于4月15日晚8点40分,影响了动态、通知和搜索功能,但未发现用户数据被非法访问。独立社区Blacksky未受影响,反而出现用户迁移激增。
俄罗斯加密货币交易所Grinex宣布暂停运营,称遭外国情报机构攻击,导致超13亿美元资产被盗。Grinex指责“敌对国家的情报机构”使用高级技术实施攻击,意在破坏俄罗斯金融主权。该交易所此前已被美国制裁,被认为是俄罗斯规避制裁的工具之一。加密追踪公司Elliptic称,Grinex极可能由Garantex原团队创建,继承其客户与资金,但未提供公开证据支持其“国家黑客”指控。
编辑点评
欧盟推出年龄验证应用的初衷是加强数字环境中的未成年人保护,但技术实现上的重大漏洞暴露了其在安全设计上的严重疏漏。两分钟即可破解的漏洞不仅挑战了该政策的可信度,也凸显了数字治理中技术与监管脱节的风险。此类事件可能削弱公众对欧盟数字主权项目的信任,尤其是在数据安全已成为全球治理核心议题的背景下。
此次漏洞与Basic-Fit、Booking.com等大规模数据泄露事件形成叠加效应,加剧了全球对数字服务安全性的担忧。企业与政府在推进数字政策时,往往过于强调功能实现而忽视安全审查,这在AI和大数据时代尤为危险。尤其值得警惕的是,Grinex事件虽未提供确凿证据,但其指控可能被用于政治化网络安全议题,推高地缘政治紧张局势。
未来,国际社会或将推动更严格的数字产品安全认证标准,类似于欧盟的《数字服务法案》(DSA)。同时,企业必须在产品发布前进行充分的安全审计。此次事件表明,即使是由政府主导的“公共安全”项目,若缺乏独立第三方安全评估,也可能成为黑客攻击的突破口,进而威胁整个数字生态系统。