Brusselsの年齢確認アプリ、ハッカーが2分で突破

記事

• BrusselsがeIDASベースの年齢確認アプリのソースコードをリリース前に公開。
• 研究者がJSONのbooleanフラグを書き換えるだけで年齢確認を完全に回避できることを発見。
• アプリはゼロ知識証明（ZKP）を使い、ウェブサイトに個人情報を開示せずに年齢を証明する仕組み。
• タイトルは誤解を招く表現：アプリはまだ本番稼働していない — ソースコードレビューの段階で脆弱性が見つかった。

ディスカッション

• タイトルに異論あり：公開されたのはソースコードであり、本番アプリではない — 欠陥はリリース前に発見されたもの。
• 「甥っ子攻撃（Nephew attack）」をめぐる議論：認証済みの端末を家族と共有することは、どんなアプリでも現実的には防げない。
• eIDASのZKPアーキテクチャ自体は評価されており、今回のバグはプロトコル設計の問題ではなく実装上のミス。
• コメント欄の名言：「うちの子どもたちがJSONのbooleanを書き換えられないなら、そもそも使う資格はない。」

HNで議論を読む

原文（英語）: Brussels launched an age checking app. Hackers took 2 minutes to break it