Тексти

Адольф Гітлер, Міккі Маус та Губка Боб вакциновані від ковіду. Ці дані є в європейській базі і в «Дії». Фейкові сертифікати зʼявилися в Нідерландах, а винних шукають у Франції та Північній Македонії

Автори:
Антон Семиженко, Дмитро Раєвський
Дата:

Аліса Ігіна / «Бабель»

У європейській базі вакцинованих від COVID-19 осіб зʼявились кілька фейкових сертифікатів на імʼя Адольфа Гітлера, Губки Боба та Міккі Мауса. Їхні сертифікати про вакцинацію ― дійсні, хоч одному з Гітлерів уже 121 рік. Журналісти, програмісти та слідчі зʼясовують, де джерело проблеми ― підозрюють і французьких лікарів, і уряд Північної Македонії. Лікарі могли фальшувати довідки, а Македонія на кілька годин відкрила доступ до електронної бази медичних даних і зловмисники могли цим скористатись. Україна користується європейськими базами даних щодо вакцинації ― так що щеплення Адольфа Гітлера підтверджує й «Дія».

Сертифікат про вакцинацію Адольфа Гітлера придбали нідерландські журналісти. Працівники медіакомпанії RTL побачили оголошення на хакерських форумах і в Telegram-каналах. Там за €300 обіцяли зробити сертифікат про вакцинацію на будь-яке імʼя, що буде дійсним у всіх країнах Єврозони. Журналісти заплатили гроші ― й отримали QR-код. Все працювало, як і обіцяли автори оголошення. Новина про інцидент зʼявилась у четвер увечері.

Невдовзі в мережі зʼявились інші сертифікати ― і на Адольфа Гітлера, що народився 1 січня 1900 року, і на Міккі Мауса 2001 року народження, і на Губку Боба. Дату народження останнього повідомити вже неможливо, оскільки система вже анулювала цей сертифікат. А от підтвердження успішної вакцинації 91-річного «Гітлера» й діснеївської миші в багатьох країнах доступні досі. В тому числі й в Україні ― оскільки урядовий додаток «Дія» використовує європейські бази даних. Якщо маєте «Дію», можете перевірити це самостійно, навівши сканер на QR-код, зображений на головній ілюстрації цього матеріалу (це повністю безпечно). Висока ймовірність, що сертифікат іще буде дійсним.

У всіх цих сертифікатів одна спільна риса: їх «видано» або польським, або французьким контрольним органом. Продавці фальсифікованих документів запевняли, що доступні лише ці два варіанти ― але все одно ці сертифікати визнають усі країни ЄС і не лише вони. Так, «вакцинований» Адольф Гітлер висвітився й у швейцарському додатку із сертифікатами вакцинації. Привʼязка до польського й французького регуляторів дала журналістам-розслідувачам і програмістам зачіпку. Цей факт став відправною точкою у слідстві, зокрема нідерландських поліцейських.

Головної версії того, як хакерам вдалося зламати систему, наразі немає. В роботі кілька. Наприклад, що зловмисникам вдалося корумпувати французького й польського лікарів у пунктах вакцинації. Або що вони встановили на їхні компʼютери шкідливий софт, через який і виписують фейкові сертифікати.

Третій варіант найбільш екзотичний: у ньому фігурує ціла балканська країна. У Північній Македонії офіційний сайт, на якому формувались ковід-сертифікати, протягом кількох годин міг видавати дійсний сертифікат на будь-які імʼя, дату народження й країну реєстрації вакцинації. А доз вакцини можна було вказати аж до девʼяти. Північна Македонія не входить до ЄС, однак від серпня видані її медичною системою сертифікати Євросоюз автоматично визнає ― тож її софт інтегрований з європейським.

Браузер не підтримує відео

Якщо вірити «Дії», 20-річний Міккі Маус отримав дві дози вакцини Pfizer.

Випадок призвів до заяв про те, що оцифрування урядових сервісів ризикована ідея. У пресі й соцмережах зʼявилися згадки про події чотирирічної давності в Естонії. Країна перша у світі запровадила електронне громадянство ― коли більшість повʼязаних із державою операцій можна виконати онлайн зі спеціальним електронним ключем. У 2017-му програмісти виявили в таких сертифікатах критичну помилку безпеки. Уряд Естонії змушений був перевипустити електронні ключі для понад 700 тисяч осіб. Втім, офіційні особи ЄС запевняють, що серйозних загроз системі безпеки європейських ковід-сертифікатів немає.

Відкликати сертифікат «Адольфа Гітлера» неможливо, запевняє спікер Українського кіберальянсу Андрій Баранович. «Можна хіба що відкликати ключ, яким у певній країні авторизують сертифікати ― але це зробить недійсними тисячі або десятки тисяч інших, справжніх сертифікатів. Перевипускати їх складно, бо доведеться виходити на всіх цих вакцинованих людей, отримувати від них підтвердження щеплення», ― сказав він «Бабелю». Проблему з «Губкою Бобом» можна вирішити на рівні кожної окремої країни, заносячи конкретні сертифікати до чорного списку.

У майбутньому такі інциденти неминучі, переконаний Баранович: «У єдиній системі сертифікатів щеплення ― 40 країн Європи, а це тисячі компʼютерів лікарів. Імовірність, що хтось внесе неправдиві дані про вакцинацію за хабар чи заради жарту ― висока. В Україні ж теж так відбувається». Однак загалом системі це не загрожує, запевняє IT-експерт. Мовляв, на тлі всього масиву даних окремими випадкам неправдивих сертифікатів можна знехтувати. Та й виявити і покарати недобросовісних лікарів нескладно.

«Можна провести контрольну закупівлю фейкових сертифікатів, побачити, який лікар вніс дані в систему ― і злочин зафіксовано. В Україні вже є кілька сотень таких справ, ― каже Баранович. ― Інша річ ― якщо хтось отримає доступ до ключа, яким авторизують сертифікати. Тоді можна буде фальсифікувати дані масово. В Україні такі ключі зберігаються в Міністерстві цифрової трансформації. Сподіваюсь, дуже надійно, бо інтерес до них можуть проявити ті ж російські хакери, за плечима яких уже чимало кібератак на українські IT-системи».

Представники «Дії» чи Міністерства цифрової трансформації України на інцидент офіційно не відреагували. «Бабель» намагався отримати коментар у заступника Міністра цифрової трансформації Олексія Вискуба, однак на телефонні дзвінки та СМС він не відповів.

Електронні сертифікати справа складна, а от із «Бабелем» усе просто й прозоро: ви нам донати, ми вам якісні матеріали.