Un pacchetto di 62 green pass italiani validi, a disposizione di chi il pass non ce l’ha. La notizia si è diffusa sui social ieri, aggiungendo dubbi ai dubbi non ancora completamente dissipati sulla portata dell’incidente di tre giorni fa.
Come ricorderete senz’altro, in settimana si erano succedute diverse notizie per spiegare la diffusione di un Green Pass falso ma valido assegnato ad Adolph Hitler.
Indice degli argomenti
Il mistero dei 62 green pass italiani
Figura 1 – Il messaggio apparso sul forum del DarkWeb con il link all’archivio
E stamattina dunque 62 Green Pass italiani sono stati caricati su un noto sito di file sharing e il link postato su un forum del DarkWeb.
Figura 2 – L’archivio incriminato, pronto per essere scaricato
Il file contiene 62 cartelle con all’interno un file di testo e un file json. Il file di testo altro non è che il certificato pronto per essere codificato in immagine QRCode, come il prefisso “HC1:” dimostra. Infatti l’autore del post spiega che il file va semplicemente passato a un codificatore di QRCode, come uno dei tanti disponibili online o fuori linea.
Figura 3 – Il contenuto dell’archivio dei green pass
L’altro file invece è il QRCode decodificato e interpretato, senza la firma digitale del certificatore; in esso sono riportati, come noto, nome, cognome e data di nascita dell’utente.
Spicca innanzitutto che tutti e 62 i certificati, sono certificati per vaccinazione. Nessuno di essi riporta i campi del gruppo “t” (cioè test, il certificato rilasciato per tampone) o del gruppo “r” (cioè recovery, per la guarigione).
Una breve ricerca sui motori di ricerca e sui social relativa ai nomi dei certificati porta almeno ad un riscontro interessante, cioè ad un certificato di vaccinazione avvenuta a fine gennaio, corrispondente ad un utente Facebook di professione medico. Ricordiamo che all’epoca le vaccinazioni erano riservate a medici e addetti sanitari.
Forse sono pass copiati dai social
Se pure questo riscontro non è solidissimo (potrebbe essere un caso, o non esserlo in verità), ciò farebbe pensare che essi non siano stati necessariamente generati dalle workstation esposte, ma piuttosto da una raccolta da fonti pubbliche, come social o giornali, oppure da una app VerificaC19 appositamente modificata per collezionare campioni e dati.
Personalmente, ma è una mia opinione, mi sentirei di escludere anche che si tratti di pass generati da insider, in quanto, suppongo, sarebbe piuttosto scorretto da parte di un fornitore pubblicare la “merce” già venduta ad un cliente, ma è altresì vero che uno scammer è pur sempre uno scammer.
Non ci sono prove che questi pacchetti siano collegati alla scoperta di possibili account DGCA Issuance italiani compromessi (vedi sotto).
Green pass falsi, anche in Italia prime evidenze di sistemi compromessi
Green pass già invalidati
Nel frattempo, proprio mentre scrivo, l’applicazione Verifica C19 è stata aggiornata e parrebbe aver introdotto la gestione delle CRL, ovvero della revoca dei certificati.
Tutto bene, quindi? Non proprio perché comunque sembra così confermato che ci sono diversi punti deboli nel sistema, sfruttabili da criminali e no vax.
Debolezze del sistema
Insomma, La sensazione che, anche se di base il sistema ha dimostrato di essere abbastanza solido, esistono tutt’ora dei punti critici che andrebbero rivisti. La questione delle CRL è sicuramente importante ma con il crescere del numero di questi incidenti diventerà inevitabilmente sempre meno gestibile.
Quest’ultimo incidente ci ha dimostrato ancora una volta che la minaccia più attuale è l’abuso di certificati validi sottratti ad utenti ignari; se anche, si spera, l’utente medio dovrebbe aver capito che condividere l’immagine del QRCode sui social non è un’idea furba, è pur sempre possibile che tramite l’uso di app modificate un utente potrebbe facilmente collezionare e rivendere un alto numero di certificati validi all’insaputa degli utenti verificati. E in questo senso gestire le CRL sarà sempre più impegnativo.
Tutto questo senza considerare, ancora, la possibilità che realmente ci sono diversi terminali o account compromessi di creazione pass (vedi sopra), punto che nei prossimi giorni merita approfondimenti.
