Szczepionka dla Myszki Miki. Fałszywe certyfikaty w sieci
5 listopada 2021Zdjęcia sfałszowanych certyfikatów trafiły w październiku na pierwsze strony gazet w Europie: zostały wystawione na przykład na Adolfa Hitlera urodzonego 1 stycznia 1990 roku albo na Myszkę Miki. – Prawdopodobnie fałszerze chcieli w ten sposób zademonstrować potencjalnym klientom, że są w stanie wygenerować świadectwa szczepień – mówi Hanno Boeck, który bada sprawę na zlecenie platformy informacyjnej „golem.de".
Cyfrowe certyfikaty nie są rozwiązaniem
Cyfrowe certyfikaty szczepień są ważne w UE, ale także w krajach stowarzyszonych, takich jak Szwajcaria i Norwegia. Ich wprowadzenie miało na celu m.in. wyeliminowanie łatwości fałszowania analogowych dokumentów, takich jak dobrze znane w niektórych krajach UE żółte książeczki. Świadectwa Myszki Miki i spółki pokazują jednak, że udało się to tylko częściowo – jeśli w ogóle.
Dla Matthiasa Marxa było to do przewidzenia. – Co mnie najbardziej zaskakuje, to zaskoczenie, jakie sprawa wydaje się wywoływać – mówi w rozmowie z DW. Marx jest członkiem Chaos Computer Club (CCC) i współautorem ekspertyzy na ten temat, którą to stowarzyszenie hakerów przygotowało dla komisji zdrowia Bundestagu w połowie maja. CCC zwraca w niej uwagę, że nawet szyfrowanie, które powinno być odporne na manipulacje, nie jest w stanie zapobiec fałszowaniu poszczególnych certyfikatów. Na przykład, jeśli jakiś system komputerowy nie jest odpowiednio zabezpieczony przed włamaniem.
Niezabezpieczone systemy w instytucjach
Z informacji Boecka wynika, że większość sfałszowanych certyfikatów została wydana przez Ministerstwo Zdrowia Północnej Macedonii, którego certyfikaty są ważne również w UE. W obiegu znajdują się jednak również fałszywki pochodzące z krajów Unii Europejskiej: Niemiec, Francji i Polski.
Większość kodów została utworzona za pośrednictwem zwykłych interfejsów internetowych, tj. stron, za pośrednictwem których upoważnieni użytkownicy – tacy jak farmaceuci lub personel szpitalny – wydają cyfrowe świadectwa szczepień. Operatorami interfejsów są organy wydające – w Niemczech jest to Instytut Roberta Kocha.
Według Boecka niektóre z tych stron nie są nawet chronione hasłem. – Właśnie sprawdziłem ponownie. Dotyczy to nadal dwóch krajów spoza UE, inne w międzyczasie wprowadziły poprawki – wyjaśnia Boeck. Nie ujawnia, które to strony, by nie zachęcać do dalszych nadużyć. – Każdy, kto znajdzie te strony, może po prostu kliknąć i wystawić świadectwo szczepienia – mówi.
Falsyfikaty z aptek
Według policji w Niemczech większość informacji o sfałszowanych certyfikatach prowadzi do aptek, ponieważ to tam klienci często okazują sfałszowane papierowe zaświadczenia o szczepieniu, aby otrzymać cyfrowy certyfikat. Z drugiej strony, dobrze wykonane falsyfikaty nie są łatwo rozpoznawalne, więc można sobie wyobrazić, że apteki nieświadomie pomagają w digitalizacji sfałszowanych zaświadczeń.
– Ale także wśród farmaceutów i lekarzy są krytycy szczepień, a niektórzy z nich najwyraźniej fałszują zaświadczenia o szczepieniach, by w ten sposób generować dodatkowe dochody – twierdzi Marx. – Im bardziej restrykcyjne stają się przepisy dla osób nieszczepionych, tym większą mają oni motywację, by postarać się o fałszywkę – dodaje.
Ta motywacja rośnie w szybkim tempie: od końca sierpnia szybki test antygenowy w Niemczech jest ważny tylko przez 24 godziny zamiast 48. Jest on obowiązkowy w wielu sytuacjach, na przykład w restauracjach, w kinie, na koncertach lub podczas wizyt w szpitalach i domach opieki. Od października za testy trzeba płacić. Niektóre sklepy i organizatorzy imprez nie wpuszczają już w ogóle osób nieszczepionych.
Wycofanie wszystkich certyfikatów?
Według Federalnego Ministerstwa Zdrowia falsyfikaty z Niemiec mogą zostać unieważnione. Ministerstwo nie chciało powiedzieć DW dlaczego do tej pory tego nie zrobiono. Z zaświadczeniem wydanym przez RKI Myszka Miki jeszcze 3 listopada 2021 nadal mogła przedstawiać się jako zaszczepiona.
Byłoby to jednak rozwiązanie tylko dla certyfikatów, o których i tak wiadomo, że są fałszywe, a nie dla unieważnienia wszystkich fałszywek. W telewizji n-tv ekspert ds. bezpieczeństwa Ruediger Trost z firmy F-Secure powiedział: „Jest naprawdę tylko jedno czyste rozwiązanie: wszystkie certyfikaty szczepień muszą zostać wycofane."
Decyduje czynnik ludzki
W Niemczech czy Francji taki krok mógłby oznaczać, że miliony legalnych posiadaczy cyfrowych certyfikatów szczepień musiałyby otrzymać nowe zaświadczenia. Wtedy cała procedura zaczynałaby się od nowa – także dla fałszerzy. Zwłaszcza jeśli władze i osoby upoważnione nie zmienią swojego postępowania. Bo zdaniem ekspertów to nie zabezpieczenia kluczy certyfikatów są powodem, dla którego w obiegu jest tak wiele fałszywek, ale nieostrożność użytkowników.