Noszenie przy sobie dokumentu potwierdzającego przyjęcie wymaganych dawek szczepionki przeciw COVID-19 może być uciążliwe. Jednak coraz więcej osób akceptuje to jako cenę powrotu do normalności.
Wraz z ponownym otwieraniem granic pojawia się uzasadnione zapotrzebowanie na cyfrowe wersje paszportów szczepień. Państwa starają się odpowiadać na ten popyt tak szybko, jak to możliwe. Jednak z powodu pośpiechu wiele z tych aplikacji ma poważne luki bezpieczeństwa.
W tym artykule zebraliśmy najbardziej znane przypadki. Proponujemy również realne rozwiązanie umożliwiające wykrycie przekonujących, lecz sfałszowanych analogowych i cyfrowych paszportów szczepień.
Dlaczego podatność paszportów szczepień stanowi ryzyko?
Wszyscy wiemy, że nie istnieje coś takiego jak idealna aplikacja mobilna. W wielu przypadkach błąd jest jedynie drobną niedogodnością. Jednak w przypadku aplikacji przechowujących dane wrażliwe – takich jak paszport szczepień – podatność staje się kwestią priorytetową.
Korespondentka New York Times, Ceylan Yeğinsu, pisze, że główny problem polega na tym, iż paszport jest dokumentem wydawanym przez rząd w celu potwierdzania danych osobowych. Dlatego „wielu ludzi obawia się […] przekazywania osobistych i wrażliwych informacji zdrowotnych, które administratorzy danych mogą łatwo nadużyć.” I w przeciwieństwie do placówek medycznych, gdzie przepisy rygorystycznie regulują sposób postępowania z takimi informacjami, przedsiębiorstwa spoza sektora zdrowia mogą robić z naszymi danymi zdrowotnymi praktycznie wszystko.
Producent rozwiązań antywirusowych Panda Security przeprowadził niereprezentatywne badanie dotyczące paszportów szczepień. Okazało się, że 56% osób martwi się o bezpieczeństwo swoich danych. Niestety, mają wszelkie powody, by obawiać się kradzieży danych. We wczesnych etapach pandemii COVID-19 cztery stany USA padły ofiarą cyberataków wymierzonych w osoby ubiegające się o zasiłki dla bezrobotnych.
W związku z tym cyfrowe certyfikaty COVID powinny być od początku całkowicie odporne na nadużycia. Jednak aplikacje te musiały zostać opracowane bardzo szybko, aby jak najszybciej znieść ograniczenia w podróżowaniu i życiu społecznym. Skutkiem tego były błędy o różnym poziomie powagi.
Przykłady znanych podatności cyfrowych paszportów szczepień
NYC Safe: Jedno zdjęcie, które oszuka wszystkich
Trudno ocenić na podstawie papierowego paszportu szczepień, czy jest on fałszywy – tym bardziej na podstawie samego zdjęcia dokumentu. Taki właśnie był przypadek aplikacji NYC Safe w Nowym Jorku. Mocno krytykowana za to, że była jedynie magazynem zdjęć papierowych certyfikatów COVID, aplikacja pozwalała użytkownikom przesyłać dowolny dokument – prawdziwy lub podrobiony. Słabość systemu stała się oczywista, gdy aplikacja zaakceptowała portret Myszki Miki jako dowód szczepienia.
NYC Excelsior Pass Wallet: Fałszywe dane uwierzytelniające
Słynny przypadek tego amerykańskiego cyfrowego paszportu szczepień dla mieszkańców stanu Nowy Jork ujawnił inny rodzaj ryzyka. Jak odkryła grupa NCC Group, aplikacja NYC Excelsior Pass Wallet pozwalała użytkownikom tworzyć i przechowywać fałszywe dane o szczepieniu po prostu poprzez zeskanowanie podrobionego dokumentu. Użytkownicy mogli z łatwością wykorzystać fakt, że certyfikat COVID nie był prawidłowo weryfikowany.
Australia – Express Plus Medicare: Replikacja animowanego walidatora
Dziesięć minut. Tyle wystarczyło Richardowi Nelsonowi, inżynierowi oprogramowania z Sydney, aby ujawnić podatność australijskiej aplikacji Express Plus Medicare COVID-19. Udowodnił również, dlaczego kody QR są koniecznością dla paszportów szczepień. Główny problem australijskiego certyfikatu COVID polega na tym, że oprócz podstawowych danych zawiera on rzekomo unikalną animację mającą potwierdzać ważność paszportu. Nelson z łatwością odtworzył tę animację, co pozwoliło mu tworzyć dowolną liczbę fałszywych cyfrowych paszportów szczepień."
VaxiCode Verif w Quebecu: Podrobione podpisy cyfrowe
Podobnie jak wiele aplikacji certyfikatów COVID używanych na całym świecie, cyfrowy paszport szczepień wydany przez kanadyjski Quebec używa kodów QR zawierających niezbędne dane o szczepieniu połączone z podpisami cyfrowymi. Podpis cyfrowy wykorzystuje kryptografię asymetryczną, używając dwóch kluczy. Teoretycznie gwarantuje to, że aplikacja weryfikująca nie uzna fałszywych danych za prawidłowe.
Mimo to ekspertowi ds. cyberbezpieczeństwa udało się stosunkowo łatwo oszukać VaxiCode Verif. Wygenerował parę kluczy i udostępnił klucz publiczny na określonej stronie internetowej. Następnie stworzył dwa kody QR. Jeden udawał ważny cyfrowy paszport szczepień, zawierający klucz publiczny i zwykły fałszywy certyfikat COVID. Następnie przedstawił aplikacji kod QR z kluczem publicznym. Aplikacja poprawnie go odrzuciła jako ważny certyfikat COVID, ale jednocześnie wymusiła pobranie klucza publicznego. Po tym aplikacja uznała drugi fałszywy cyfrowy paszport szczepień za ważny.
Warto dodać, że twórcy aplikacji zareagowali szybko. Wkrótce po incydencie wydali nową wersję, która wyeliminowała problem.
Cyfrowy Certyfikat COVID UE: Szczepienie zmarłych
Jeśli chodzi o europejski paszport szczepień, zwany Cyfrowym Certyfikatem COVID UE, eksperci zazwyczaj chwalą go za wdrożenie rygorystycznych zasad RODO, zwłaszcza spoza Europy. W praktyce umożliwienie państwom członkowskim UE tworzenia własnych wersji certyfikatu COVID było ryzykiem, które ostatecznie się opłaciło. Nie oznacza to jednak, że nie pojawiły się żadne błędy.
Tim Berghoff z GData, niemieckiej firmy zajmującej się cyberbezpieczeństwem, wskazał wiele problemów w niemieckiej wersji certyfikatu UE. Podkreślimy dwa:
- W przypadku papierowych certyfikatów COVID wydawanych przez aptekę lub gabinet lekarski nie weryfikowano poprawności danych wprowadzanych do aplikacji. Eksperci ds. cyberbezpieczeństwa zdołali zweryfikować europejski paszport szczepień, mimo że wskazywał tę samą datę zarówno dla pierwszej, jak i drugiej dawki.
- Berghoff i jego zespół byli w stanie stworzyć paszport szczepień dla Roberta Kocha, niemieckiego mikrobiologa z XIX wieku. Cyfrowy Certyfikat COVID UE nie miał żadnego problemu, by potwierdzić szczepienie osoby, która od dawna nie żyje.
Czy papierowe paszporty szczepień są rozwiązaniem?
Niekoniecznie. Wydaje się logiczne porzucić cyfrowe paszporty szczepień i nosić przy sobie papierowy certyfikat.
Jednak podobnie jak ich cyfrowe odpowiedniki, także papierowe certyfikaty były wprowadzane w pośpiechu. To sprawiło, że analogowe paszporty szczepień stały się bardzo łatwe do podrobienia. W Stanach Zjednoczonych CDC wydało certyfikat z danymi zapisanymi ręcznie. Nic dziwnego, że oszuści wykorzystali sytuację i zalali czarny rynek fałszywymi paszportami szczepień.
W konsekwencji te fałszywe certyfikaty mogły szybko trafić do aplikacji COVID, które miały minimalne lub żadne funkcje weryfikacji autentyczności. Pozwala to osobom nieszczepionym wchodzić do miejsc, w których wymagane jest szczepienie.
Weryfikacja statusu szczepienia
Błędy i problemy aplikacji zawsze prędzej czy później zostaną wykryte i usunięte. Tak właśnie stało się w przypadku aplikacji w Quebecu i stanie Nowy Jork. Co więcej, wirtualne certyfikaty COVID – przynajmniej te korzystające z podpisów cyfrowych – są wciąż bardziej odporne na fałszowanie niż ich papierowe wersje. W każdym razie osoby, które bardziej ufają analogowym paszportom szczepień, powinny przechowywać je w bezpiecznym miejscu."
Jeśli pracujesz w firmie i musisz weryfikować ważność cyfrowych certyfikatów szczepień, powinieneś wziąć pod uwagę dwie rzeczy. Po pierwsze, sprawdź i ponownie sprawdź dokument, który masz przed sobą. Chociaż niektóre krajowe i międzynarodowe paszporty szczepień nie posiadają zaawansowanych zabezpieczeń, takich jak podpis cyfrowy, stanowią one mniejszość. Liczba państw wymagających paszportów szczepień rośnie, a wiele z nich prawdopodobnie nie zaakceptuje podatnych certyfikatów jako ważnych dokumentów podróży.
Jednym ze sposobów sprawdzenia, czy dana osoba nie przedstawia fałszywego certyfikatu COVID, jest porównanie go z innym dokumentem tożsamości. Zaawansowany, zautomatyzowany czytnik dokumentów, taki jak Osmond, może zweryfikować autentyczność paszportu podróżnego, a jednocześnie uzyskać praktycznie wszystkie dane z paszportów dzięki technologii optycznego rozpoznawania znaków, w tym imię i nazwisko podróżnego, kraj pochodzenia i wiele innych.
Masz pytania lub zapytania? Jesteśmy tu, aby wspierać cię na każdym kroku:"
