Zaszczepili historyczną postać. Ważny kod QR krąży w sieci

Pod koniec października sprawę opisał portal zaufanatrzeciastrona.pl. Jak czytamy, na pewnym forum w sieci użytkownik o pseudonimie "przedsiebiorca" przedstawił ofertę sprzedaży unijnych certyfikatów potwierdzających szczepienie przeciw COVID-19 przeprowadzone w Polsce. Cena - 300 dolarów.

Jedna z osób poprosiła "przedsiebiorce" o spreparowanie certyfikatu na personalia należące do wodza Rzeszy niemieckiej w celu udowodnienia, że ma takie możliwości. W sieci wylądował następnie ważny kod QR certyfikatu szczepienia na wymienione wyżej dane.

Skąd wiemy, że kod QR jest ważny i prawidłowy? Wystarczy użyć aplikacji "Skaner certyfikatów COVID" autorstwa Centrum e-Zdrowie. My również to sprawdziliśmy.

Po zeskanowaniu pojawia nam się informacja - "Certyfikat potwierdzony", imię i nazwisko, na które został wydany certyfikat oraz data urodzenia - 1 stycznia 1930 r.

Według danych zaszyfrowanych w kodzie, certyfikat został wystawiony 24 października tego roku, a pacjent przyjął jedną dawkę preparatu AstraZeneca dokładnie 11 lipca. "Certyfikat pozostanie ważny jeszcze przez półtora roku, ponieważ nikt nie przewidział procedur odwoływania fałszywych certyfikatów..." - piszą autorzy artykułu.

Na tym samym forum, na którym pojawił się certyfikat pochodzący z Polski, znaleźć można było francuski kod QR ze szczepienia, które miało być wykonane na takie same personalia.

Oba certyfikaty mogą wskazywać na to, że z urzędów wydających certyfikaty skradziono utajnione klucze cyfrowe do certyfikatów. Łukasz Olejnik, niezależny badacz cyberbezpieczeństwa i prywatności, napisał na Twitterze: "Podejrzenia wycieku prywatnych kluczy europejskiego systemu certyfikatów szczepień. Poważne konsekwencje: fałszowanie certów, konieczność unieważnienia kluczy, przerobienia rzeczy. Wygląda źle dla bezpieczeństwa systemu. Podejrzenie wycieku z Polski niestety".

Odpisał mu pełnomocnik ds. cyberbezpieczeństwa Janusz Cieszyński. "Pierwszy nie jest z Polski (to klucz publiczny z Francji), drugi jest nasz, ale to publiczny umieszczony na bramce europejskiej wykorzystywany do weryfikacji czy certyfikat jest wystawiony przez uprawnioną instytucję" - napisał.

O sprawę spytaliśmy Ministerstwo Zdrowia. Katarzyna Kubicka-Żach z Biura Komunikacji MZ potwierdza: "we Francji i w Polsce miał miejsce incydent związany z wystawieniem certyfikatu UCC (Unijny Certyfikat Covid - przyp. red.) z wykorzystaniem fałszywych danych. Certyfikaty w obu krajach zostały wystawione z wykorzystaniem dedykowanych systemów informatycznych na to samo fałszywe nazwisko". Z dotychczasowych ustaleń Ministerstwa Zdrowia wynika, że w Polsce wystawiono "w ten nieuprawniony sposób" jeden certyfikat tego rodzaju. - Centrum e-Zdrowia po otrzymaniu informacji w tym zakresie uniemożliwiło dalszą aktywność użytkownika, z profilu którego wystawiono dokument. Incydent został również niezwłocznie zgłoszony do odpowiednich instytucji. Trwa postępowanie w tym zakresie" - czytamy w odpowiedzi z MZ.

Spytaliśmy również, czy istnieją procedury odwoływania fałszywych certyfikatów, ponieważ - tak jak pisaliśmy - certyfikat wciąż widnieje jako prawidłowy w systemie Centrum e-Zdrowia."Omawiane incydenty w ramach systemu Unijnego Certyfikatu Covid, z uwagi na właściwość techniczną i nadzorczą Komisji Europejskiej, były także przedmiotem działań koordynacyjnych, których efektem jest m.in. decyzja o niezwłocznym wdrożeniu systemu centralnego odwoływania certyfikatów. Dotychczas funkcjonalności związane z odwoływaniem certyfikatów nie były częścią unijnego rozwiązania technicznego. Były one realizowane indywidualnie przez państwa członkowskie" - odpowiada MZ.

"System certyfikatów UCC obecnie działa bez zakłóceń" - zapewnia Katarzyna Kubicka-Żach z Biura Komunikacji MZ.