Rubate le chiavi per generare il certificato Covid europeo

SDA

27.10.2021 - 20:45

Alcune «chiavi» crittografiche private che permettono di generare il certificato Covid europeo sarebbero state rubate e con quelle sono stati realizzati documenti che sono risultati perfettamente validi alla verifica con le app ufficiali.
Keystone

Alcune «chiavi» crittografiche private che permettono di generare il certificato Covid utilizzabile in tutti i paesi dell'UE sarebbero state rubate e con quelle sono stati realizzati documenti che sono risultati perfettamente validi alla verifica con le app ufficiali.

SDA

27.10.2021 - 20:45

Quale sia la reale entità del furto e dei danni che possa aver provocato a livello europeo non è ancora stato quantificato, così come non c'è ancora una indicazione su quale sia il paese, o i paesi, che hanno subito la compromissione dei propri sistemi informatici.

Più chiaro è, invece, come è stato scoperto il furto: dalla serata di martedì hanno iniziato a circolare su Twitter, sui siti specializzati e sui forum di settore, due cosiddetti green pass (certificati verdi) intestati ad Adolf Hitler, con unica differenza la data di nascita. Uno riportava il 1 gennaio del 1900, l'altro il 1 gennaio del 1930.

Al di là dell'evidente bufala e dell'errata data di nascita del Fuhrer, nato il 20 aprile del 1889, entrambi i pass avevano però un QR code che, se scannerizzato con la app ufficiale, vale a dire l'unica abilitata alle verifiche, era valido. E, dunque, utilizzabile ogni qualvolta venisse richiesto.

Come è possibile?

Come è possibile? Le verifiche condotte in Italia dall'Agenzia per la cybersicurezza nazionale, dagli enti e dai ministeri interessati e dalla Polizia Postale qualche risposta l'hanno data, anche se sono ancora molti i punti da chiarire.

La prima è, appunto, che qualcuno avrebbe sottratto alcune chiavi che consentono di realizzare il green pass, ognuna delle quali può attivare più certificazioni verdi, e non lo ha fatto in Italia: dai primi accertamenti investigativi e dalle informazioni d'intelligence non risultano infatti attacchi informatici alla Sogei, la società di Information Thecnology partecipata al 100% dal Ministero dell'Economia e delle Finanze che in Italia fornisce i codici con i quali vengono generati i certificati verdi.

L'altra ipotesi è che qualcuno abbia fatto un utilizzo improprio della chiave stessa. Diversi siti e blog di settore avanzano l'ipotesi che la sottrazione delle chiavi private avrebbe riguardato la Francia e la Polonia: uno dei due certificati intestati ad Hitler sarebbe stato emesso dall'ente francese CNAM (Caisse Nationale d'Assurance Maladie) il 25 ottobre mentre l'altro indicherebbe invece l'azienda «Janssen – Cilag international» come produttrice del vaccino somministrato, in Polonia, dal «Centrum e Zdrowia».

Ma non solo...

Non solo. Il riferimento alla Polonia si trova anche su «RaidForums», un market nel dark web punto di scambio di data leaks, nel quale l'utente che si fa chiamare «Przedsiebiorca» (che significa imprenditore in polacco) mette in vendita a 300 dollari un green pass valido. E per confermare ad un altro utente che è in grado di generare certificati falsi ma funzionanti, crea il finto certificato di Adolf Hitler.

La seconda risposta è che si è deciso di bloccare immediatamente le chiavi che sono state sottratte. Mossa che, di conseguenza, ha invalidato tutti i pass generati con quei codici poiché ogni certificato emesso da un singolo paese dell'Unione dialoga con una database centrale dove ci sono tutte le chiavi che li generano. Prova ne è che i due certificati intestati ad Adolf Hitler, almeno in Italia, non risultano essere più validi.

L'annullamento dei pass porta però con sé un'altra conseguenza: essendo ogni chiave utilizzata per generare più attestati, non si può escludere che un cittadino straniero che nulla a che fare con il furto ma ha comunque un certificato emesso con quel codice, possa risultare non in regola ad un controllo in un altro paese perché in possesso di un documento non valido.

Per definire meglio i contorni dell'intera vicenda, a livello europeo è stata comunque convocata una riunione tecnica con la partecipazione di tutti i soggetti coinvolti. Le verifiche degli investigatori si concentrano in particolare su due fronti: capire se qualcuno stia tentando di vendere quelle chiavi nel dark web e tentare di ricostruire chi abbia sottratto le chiavi – perché il furto potrebbe essere partito da un qualunque pc nel mondo – e come abbia fatto a bucare i sistemi che le generano.

SDA