L’Italia sperava che con l’entrata in vigore del Green Pass digitale, si sarebbero risolte tante problematiche relative alla contraffazione delle certificazioni Covid-19. E invece come sempre, si è riusciti a trovare l’escamotage digitale per entrare nel sistema dei Green Pass e falsificarne più di qualcuno.
Un esempio eclatante su tutte: nei giorni scorsi è stato visto online un Green Pass di qualcuno che è morto da un bel po’ di tempo… nientepopodimeno che Adolf Hitler! Una burla? Fino a un certo punto: la certificazione, a dirla tutta, è risultata valida allo scan dell’app di verifica C19.
Questo vuol dire che non solo qualcuno è riuscito a riprodurre fedelmente dei Green Pass totalmente falsi, ma ha anche trovato la chiave giusta per farli passare come validi…
Migliaia di Green Pass falsi in circolazione, riconoscerli come falsi è un’impresa
Si sta ovviamente cercando, in questo momento, l’autore (o l’autrice) di questa mega truffa, e anche se al momento non sono state formulate accuse precise e mirate, sembra che il certificato che ha fatto scattare l’allarme sia stato firmato dalla Caisse Nationale d’Assurance Maladie.
Non è detto tuttavia che l’ente sia responsabile della truffa, dal momento che qualsiasi sia il vero responsabile potrebbe aver ottenuto di far apparire come ente certificatore qualunque istituzione sanitaria europea.
Si pensa invece che le chiavi che hanno generato i Green Pass arriverebbero dalla Polonia, ma c’è chi pensa che queste chiavi finite in mano di hacker poco simpatici (giusto per usare un eufemismo) provengano anche dalla Francia e dall’Italia.
Ad ogni modo, il problema resta ed è piuttosto grave: il sistema di sicurezza dei Green Pass è basato sull’assunto che ognuno di loro sia firmato con una chiave segreta che tutti gli enti dovrebbero mantenere al più assoluto segreto. Questa chiave è infatti il primo elemento che l’app Verifica C19 incontra e utilizza per verificare se il Green Pass è valido o meno.
Infatti se la chiave non rimanda a uno degli enti certificatori, il Green Pass in questione risulta assolutamente non valido, a prescindere dai dati che sono inseriti. Per questo motivo, è quasi sicuro che gli hacker che hanno rubato le “chiavi”, lo hanno fatto in un modo così sottile da riuscire a penetrare i sistemi di sicurezza di questi enti.
E’ vero infatti che i due fattori per la verifica sono due, le chiavi e i dati del certificato, ma non si tratta di una autenticazione a due fattori indipendenti l’uno dall’altro. Se manca il primo, ossia la chiave, anche il secondo risulta non valido. Ma in questo caso, si è riusciti ad aggirare il problema.
LEGGI ANCHE >>> Android Auto ha una nuova interfaccia, che nessuno si aspetterebbe
Ci si chiede cosa possa succedere ora. Se le chiavi sono in mano a criminali che possono generare Green Pass con dati reali (e pare lo stiano già facendo) potrebbero esserci in circolazione tantissimi green pass falsi che vengono letti dalle applicazioni come corretti.
LEGGI ANCHE >>> Fitness+ di Apple per l’Italia: ecco costi e abbonamenti disponibili
Quindi gli enti di certificazioni saranno costretti probabilmente a riemettere tutti i certificati, in modo che le vecchie chiavi non li possano leggere, e le nuove riescano a leggere solamente quelli realmente validi. Gli utenti dal canto loro dovrebbero riscaricare i loro certificati dalle app Immuni e IO, le uniche valide a questo scopo.