الحفاظ على وثيقة تثبت أنك تلقيت الجرعات اللازمة من لقاح كوفيد-19 يمكن أن يكون مزعجًا. ومع ذلك، يقبل المزيد والمزيد من الناس ذلك كثمن للعودة إلى الحياة الطبيعية.
مع إعادة فتح الدول حدودها، هناك طلب مبرر للإصدارات الرقمية من جوازات اللقاح الخاصة بنا. وتقوم الدول بالرد على هذا الطلب بأسرع ما يمكن. ولكن بسبب الاندفاع في إطلاق هذه التطبيقات، تأتي العديد منها مع مشاكل جدية في الضعف.
في هذه المقالة، جمعنا أكثر الحالات السيئة سمعة. كما نقترح خيارًا قابل للتنفيذ للكشف عن جوازات اللقاح الرقمية والتناظرية المقنعة ولكن المزورة.
لماذا تشكل ضعف جوازات اللقاح خطرًا؟
نحن جميعًا نعلم أنه لا يوجد شيء مثاليًا يُسمى تطبيقًا جوالًا. في كثير من الحالات، يكون الخلل ليس سوى إزعاجًا. ومع ذلك، يصبح الضعف أولوية للتطبيقات التي تخزن البيانات الحساسة، مثل جواز اللقاح.
تكتب مراسلة صحيفة نيويورك تايمز، سيلان ييغينسو، أن المشكلة الرئيسية تكمن في أن جواز السفر هو وثيقة تصدرها الحكومة لتوثيق البيانات الشخصية. لذلك، «يخشى كثير من الناس […] تسليم معلومات صحية شخصية وحساسة يمكن لمتحكّمي البيانات إساءة استخدامها بسهولة». وعلى عكس المؤسسات الطبية، حيث تنظّم القوانين بشكل صارم كيفية التعامل مع مثل هذه المعلومات، يمكن للشركات خارج قطاع الرعاية الصحية أن تفعل ما تشاء ببياناتنا الصحية.
تكتب مراسلة صحيفة نيويورك تايمز، سيلان ييغينسو، أن المشكلة الرئيسية تكمن في أن جواز السفر هو وثيقة تصدرها الحكومة لتوثيق البيانات الشخصية. لذلك، «يخشى كثير من الناس […] تسليم معلومات صحية شخصية وحساسة يمكن لمتحكّمي البيانات إساءة استخدامها بسهولة». وعلى عكس المؤسسات الطبية، حيث تنظّم القوانين بشكل صارم كيفية التعامل مع مثل هذه المعلومات، يمكن للشركات خارج قطاع الرعاية الصحية أن تفعل ما تشاء ببياناتنا الصحية. أجرت شركة باندا سيكيوريتي، المصنِّعة لحلول مكافحة الفيروسات، دراسة غير تمثيلية حول جوازات اللقاح. وأظهرت النتائج أن 56٪ من المشاركين يشعرون بالقلق بشأن أمان بياناتهم. وللأسف، لديهم كل الأسباب للخوف من الوقوع ضحايا لسرقة البيانات. ففي المراحل الأولى من جائحة كوفيد-19، تعرّضت أربع ولايات أمريكية لهجمات إلكترونية استهدفت أنظمة مقدّمي طلبات إعانات البطالة.
لذا، يجب أن تكون الشهادات الرقمية لـ COVID مقاومة للصدمات من البداية. ومع ذلك، كان علينا تطوير هذه التطبيقات بسرعة لرفع القيود على السفر والتواصل الاجتماعي في أقرب وقت ممكن، وهذا أدى إلى وجود عيوب ذات درجات مختلفة من القلق.
أمثلة على الضعف المعروف لجوازات السفر الرقمية للتطعيم
NYC Safe: صورة واحدة لخداع الجميع
من الصعب التحقق مما إذا كان جواز سفر التطعيم المطبوع مزيفًا أم لا، ناهيك عن محاولة التحقق من ذلك اعتمادًا على صورة للوثيقة. وقد كان هذا هو الحال مع تطبيق NYC Safe في نيويورك. إذ تعرّض التطبيق لانتقادات واسعة لأنه لم يكن أكثر من مساحة لتخزين صور لجوازات سفر كوفيد الورقية، حيث أتاح للأفراد تحميل أي مستند، سواء كان أصليًا أو مزورًا. وقد أصبحت ثغرة النظام واضحة للغاية عندما قبل صورة لميكي ماوس كإثبات على التطعيم.
NYC Excelsior Pass Wallet: أوراق اعتماد مزيفة
سلّطت الحالة الشهيرة لجواز سفر اللقاح الرقمي في الولايات المتحدة، والمخصّص لمواطني ولاية نيويورك، الضوء على نوع آخر من المخاطر. فكما اكتشفت مجموعة NCC Group، أتاح تطبيق NYC Excelsior Pass Wallet للأفراد إنشاء وتخزين بيانات اعتماد لقاح مزيفة بمجرد مسح مستند مزيّف. وتمكّن المستخدمون بسهولة من استغلال حقيقة أن شهادة كوفيد لم تكن خاضعة لعملية تحقق مناسبة.
Express Plus Medicare الأسترالي: تكرار المحقق المتحرك
عشر دقائق فقط. هذا كل ما احتاجه ريتشارد نيلسون، مهندس برمجيات من سيدني، لـكشف ثغرة تطبيق Express Plus Medicare الخاص بكوفيد-19 في أستراليا. كما أثبت لماذا تُعد رموز الاستجابة السريعة (QR) عنصرًا أساسيًا في جوازات اللقاح. تتمثل المشكلة الرئيسية في شهادة كوفيد الأسترالية في أنها، إلى جانب البيانات الأساسية، تتضمن رسومًا متحركة يُفترض أنها فريدة لإثبات صحة الجواز. وقد تمكّن نيلسون من تكرار هذه الرسوم المتحركة بسهولة، ما أتاح له إنشاء عدد غير محدود من جوازات اللقاح الرقمية المزيّفة.
Québec’s VaxiCode Verif: التوقيعات الرقمية المزورة
كمعظم تطبيقات شهادة كوفيد المستخدمة في جميع أنحاء العالم، يستخدم جواز اللقاح الرقمي الصادر عن كيبك في كندا، رموز الاستجابة السريعة التي تحتوي على البيانات اللازمة للتطعيم مجتمعة مع التواقيع الرقمية. تتميز التوقيع الرقمي بالتشفير غير المتماثل، باستخدام مفتاحين. بشكل نظري، يضمن ذلك أن تطبيق المحقق لا يعترف بالأوراق المزورة كشرعية.
تمكّن خبير في الأمن السيبراني من خداع تطبيق VaxiCode Verif بسهولة نسبية. قام بإنشاء زوج مفاتيح، ثم أتاح المفتاح العام على موقع ويب معيّن. بعد ذلك، أنشأ رمزي استجابة سريعة (QR). كان أحدهما يتظاهر بأنه جواز لقاح رقمي صالح يحتوي على المفتاح العام وشهادة كوفيد مزيفة بسيطة. ثم قدّم رمز الاستجابة السريعة الذي يتضمن المفتاح العام إلى التطبيق. رفضه التطبيق بشكل صحيح كشهادة كوفيد صالحة، لكنه في الوقت نفسه قام بتنزيل المفتاح العام قسرًا. بعد ذلك، تحقّق التطبيق من جواز اللقاح الرقمي المزيف الآخر واعتبره صالحًا.
يجب أن نضيف أن مطوري التطبيق ردوا بسرعة. بعد الحادثة، أصدروا نسخة جديدة تقضي على المشكلة."
شهادة الوباء الرقمية للاتحاد الأوروبي: تطعيم الموتى
عندما يتعلق الأمر بجواز اللقاح الأوروبي، المعروف باسم شهادة كوفيد الرقمية للاتحاد الأوروبي، غالبًا ما يثني الخبراء عليه بسبب تطبيقه الصارم لقواعد الخصوصية المنصوص عليها في اللائحة العامة لحماية البيانات (GDPR)، ولا سيما من وجهات نظر خارج أوروبا. لقد كان السماح للدول الأعضاء في الاتحاد الأوروبي بتطوير نسخها الخاصة من شهادة كوفيد خطوة تنطوي على مخاطر، لكنها في النهاية أثمرت. ومع ذلك، لا يعني ذلك أن النظام كان خاليًا من العيوب.
أشار تيم بيرغهوف من شركة GData، وهي شركة ألمانية متخصصة في أمن الحاسوب، إلى العديد من المشكلات في النسخة الألمانية من شهادة الاتحاد الأوروبي. وسنُسلّط الضوء على اثنتين منها:
- في حالة الشهادات الورقية لكوفيد الصادرة من الصيدلية أو عيادة الطبيب، لم يتم التحقق من دقة البيانات المنقولة إلى التطبيق. تمكن خبراء أمن المعلومات من التحقق من شهادة لقاح أوروبية حتى على الرغم من عرض تاريخ نفسه للجرعة الأولى والثانية للشخص الذي تم اختباره.
- استطاع بيرغهوف وفريقه إنشاء جواز سفر لقاح لروبرت كوخ، عالم الميكروبيولوجيا الألماني من القرن التاسع عشر. لم تواجه شهادة كوفيد الأوروبية أي مشكلة في التحقق من تطعيم شخص قد غادر منذ زمن طويل.
"هل تعتبر جوازات اللقاح الورقية الحل؟
ليس تمامًا. يُعتبر خطوة منطقية نسيان جوازات اللقاح الرقمية ووضع شهادات التطعيم في جيوبنا.
على غرار نظيراتها الرقمية، طُرحت شهادات اللقاح الورقية أيضًا على عجل، مما جعل جوازات اللقاح التقليدية سهلة التزوير. ففي الولايات المتحدة، أصدرت مراكز مكافحة الأمراض والوقاية منها (CDC) شهادة تتضمن بيانات مكتوبة بالحبر. وليس من المستغرب أن يستغل المحتالون الفرصة ويغمروا السوق السوداء بجوازات لقاح مزيفة.
ونتيجة لذلك، يمكن أن تنتقل هذه الشهادات المزيفة بسرعة إلى تطبيقات كوفيد مع ميزات التحقق من الأصالة الدنيا أو الغير موجودة. وهذا يتيح للأشخاص غير الملقحين الدخول إلى الأماكن التي تتطلب من الأفراد أن يكونوا ملقحين.
التحقق من حالة التطعيم
سيتم اكتشاف الأخطاء والمشاكل في التطبيقات دائمًا والتخلص منها في وقت لاحق أو في وقت لاحق. هذا ما حدث في حالة تطبيقات كيبيك وولاية نيويورك. علاوة على ذلك، تظل الشهادات الرقمية الافتراضية - على الأقل تلك التي تنفذ التواقيع الرقمية - أكثر مقاومة للتزوير من نظيراتها الورقية. في أي حال، يجب على أولئك الذين يثقون أكثر في جوازات اللقاح التناظرية التأكد من تخزينها في مكان آمن."
"إذا كنت جزءًا من عمل تجاري وتحتاج إلى التحقق من صحة الشهادات الرقمية للتطعيم، هناك شيئان يجب أن تأخذهما في الاعتبار. أولاً، تحقق وتأكد مرتين من المستند أمامك. على الرغم من أن بعض جوازات اللقاح الوطنية والدولية لا تتميز بحلول أمان متقدمة مثل التوقيع الرقمي، إلا أنها تشكل الأقلية. يتزايد عدد الدول التي تتطلب جوازات اللقاح. من المرجح أن العديد منها لن يقبل الشهادات الضعيفة كوثائق سفر صالحة.
إحدى الطرق للتحقق من أن الشخص لا يقدّم شهادة كوفيد مزيفة هي إجراء تحقق متقاطع معها باستخدام مستند هوية آخر. يمكن لقارئ جوازات السفر المتقدم والمؤتمت مثل Osmond التحقق من أصالة جواز السفر، وفي الوقت نفسه استخراج جميع البيانات تقريبًا من جوازات السفر باستخدام تقنية التعرّف الضوئي على الحروف (OCR)، بما في ذلك اسم المسافر وبلد المنشأ وغيرها الكثير.
هل لديك أي أسئلة أو استفسارات؟ نحن هنا لدعمك في كل خطوة:
