Сертификат о вакцинации Адольфа Гитлера приобрели нидерландские журналисты. Сотрудники медиакомпании RTL увидели объявления на хакерских форумах и в Telegram-каналах. Там за €300 обещали сделать сертификат о вакцинации на любое имя, который будет действительным во всех странах Еврозоны. Журналисты заплатили деньги и получили QR-код. Все работало, как и обещали авторы объявления. Новость об инциденте появилась в четверг вечером.
Вскоре в сети появились другие сертификаты – и на Адольфа Гитлера, родившегося 1 января 1900 года, на Микки Мауса 2001 года рождения, и на Губку Боба. Дату рождения последнего сообщить уже невозможно, поскольку система аннулировала этот сертификат. А вот подтверждение успешной вакцинации 91-летнего Гитлера и диснеевской мыши во многих странах доступны до сих пор. В том числе и в Украине – поскольку государственное приложение «Дія» использует европейские базы данных. Если у вас есть «Дія», можете проверить это самостоятельно, наведя сканер в приложении на QR-код, изображенный на главной иллюстрации этого материала (это полностью безопасно). Высока вероятность, что сертификат еще будет действительным.
У всех этих сертификатов одна общая черта: они «выданы» либо польским, либо французским контрольным органом. Продавцы фальсифицированных документов уверяли, что доступны только два варианта, но все равно эти сертификаты признают все страны ЕС и не только они. Так, «вакцинированный» Адольф Гитлер высветился и в швейцарском приложении с сертификатами вакцинации. Привязка к польскому и французскому регуляторам дала журналистам и программистам зацепку. Этот факт стал отправной точкой в следствии, в частности нидерландских полицейских.
Главной версии того, как хакерам удалось сломать систему, пока нет. В работе несколько. Например, что злоумышленникам удалось коррумпировать французского и польского врачей в пунктах вакцинации. Или что они установили на их компьютеры вредоносный софт, через который и выписывают фейковые сертификаты.
Третий вариант наиболее экзотичен: в нем фигурирует целая балканская страна. В Северной Македонии официальный сайт, на котором формировались ковид-сертификаты, в течение нескольких часов мог выдавать действительный сертификат на любое имя, дату рождения и страну регистрации вакцинации. А доз вакцины можно было указать до девяти. Северная Македония не входит в ЕС, однако с августа выданные ее медицинской системой сертификаты Евросоюз автоматически признает, поэтому ее софт интегрирован с европейским.
Случай побудил к заявлениям о том, что оцифровка правительственных сервисов – рискованная идея. В печати и соцсетях появились упоминания о событиях четырехлетней давности в Эстонии. Страна первой в мире ввела электронное гражданство – когда большинство связанных с государством операций можно выполнить онлайн со специальным электронным ключом. В 2017 году программисты обнаружили в таких сертификатах критическую ошибку безопасности. Правительство Эстонии вынуждено было перевыпустить электронные ключи для более чем 700 тысяч человек. Впрочем, официальные лица ЕС уверяют, что серьезных угроз системе безопасности европейских ковид-сертификатов нет.
Отозвать сертификат «Адольфа Гитлера» невозможно, утверждает спикер Украинского киберальянса Андрей Баранович. «Можно разве что отозвать ключ, которым в определенной стране авторизуют сертификаты – но это сделает недействительными тысячи или десятки тысяч других, настоящих сертификатов. Перевыпускать их сложно, ведь придется выходить на всех этих вакцинированных людей, получать от них подтверждение прививки», ― сказал он «Бабелю». Проблему с «Губкой Бобом» можно решить на уровне каждой отдельной страны, внеся конкретные сертификаты в черный список.
В будущем подобные инциденты неизбежны, убежден Баранович: «В единой системе прививочных сертификатов ― 40 стран Европы, а это тысячи компьютеров врачей. Вероятность того, что кто-то внесет ложные данные о вакцинации за взятку или шутки ради – высока. В Украине тоже так происходит». Однако в общем системе это не угрожает, уверяет IT-эксперт. Мол, на фоне всего массива данных отдельными случаями ложных сертификатов можно пренебречь. Да и обнаружить и наказать недобросовестных врачей несложно.
«Можно провести контрольную закупку фейковых сертификатов, увидеть, какой врач внес данные в систему ― и преступление зафиксировано. В Украине уже есть несколько сотен таких дел, ― говорит Баранович. ― Другая история ― если кто-то получит доступ к ключу, которым авторизуют сертификаты. Тогда можно будет сфальсифицировать данные массово. В Украине эти ключи хранятся в Министерстве цифровой трансформации. Надеюсь, очень надежно, потому что интерес к ним могут проявить те же российские хакеры, за плечами которых уже немало кибератак на украинские IT-системы».
Представители «Дії» или Министерства цифровой трансформации Украины на инцидент официально не отреагировали. «Бабель» пытался получить комментарий у заместителя Министра цифровой трансформации Алексея Выскуба, однако на телефонные звонки и СМС он не ответил.
Электронные сертификаты ― дело сложное, а вот с «Бабелем» все просто и прозрачно: вы нам донат, мы вам ― качественные материалы.