Сертифікат про вакцинацію Адольфа Гітлера придбали нідерландські журналісти. Працівники медіакомпанії RTL побачили оголошення на хакерських форумах і в Telegram-каналах. Там за €300 обіцяли зробити сертифікат про вакцинацію на будь-яке імʼя, що буде дійсним у всіх країнах Єврозони. Журналісти заплатили гроші ― й отримали QR-код. Все працювало, як і обіцяли автори оголошення. Новина про інцидент зʼявилась у четвер увечері.
Невдовзі в мережі зʼявились інші сертифікати ― і на Адольфа Гітлера, що народився 1 січня 1900 року, і на Міккі Мауса 2001 року народження, і на Губку Боба. Дату народження останнього повідомити вже неможливо, оскільки система вже анулювала цей сертифікат. А от підтвердження успішної вакцинації 91-річного «Гітлера» й діснеївської миші в багатьох країнах доступні досі. В тому числі й в Україні ― оскільки урядовий додаток «Дія» використовує європейські бази даних. Якщо маєте «Дію», можете перевірити це самостійно, навівши сканер на QR-код, зображений на головній ілюстрації цього матеріалу (це повністю безпечно). Висока ймовірність, що сертифікат іще буде дійсним.
У всіх цих сертифікатів одна спільна риса: їх «видано» або польським, або французьким контрольним органом. Продавці фальсифікованих документів запевняли, що доступні лише ці два варіанти ― але все одно ці сертифікати визнають усі країни ЄС і не лише вони. Так, «вакцинований» Адольф Гітлер висвітився й у швейцарському додатку із сертифікатами вакцинації. Привʼязка до польського й французького регуляторів дала журналістам-розслідувачам і програмістам зачіпку. Цей факт став відправною точкою у слідстві, зокрема нідерландських поліцейських.
Головної версії того, як хакерам вдалося зламати систему, наразі немає. В роботі кілька. Наприклад, що зловмисникам вдалося корумпувати французького й польського лікарів у пунктах вакцинації. Або що вони встановили на їхні компʼютери шкідливий софт, через який і виписують фейкові сертифікати.
Третій варіант найбільш екзотичний: у ньому фігурує ціла балканська країна. У Північній Македонії офіційний сайт, на якому формувались ковід-сертифікати, протягом кількох годин міг видавати дійсний сертифікат на будь-які імʼя, дату народження й країну реєстрації вакцинації. А доз вакцини можна було вказати аж до девʼяти. Північна Македонія не входить до ЄС, однак від серпня видані її медичною системою сертифікати Євросоюз автоматично визнає ― тож її софт інтегрований з європейським.
Якщо вірити «Дії», 20-річний Міккі Маус отримав дві дози вакцини Pfizer.
Випадок призвів до заяв про те, що оцифрування урядових сервісів ― ризикована ідея. У пресі й соцмережах зʼявилися згадки про події чотирирічної давності в Естонії. Країна перша у світі запровадила електронне громадянство ― коли більшість повʼязаних із державою операцій можна виконати онлайн зі спеціальним електронним ключем. У 2017-му програмісти виявили в таких сертифікатах критичну помилку безпеки. Уряд Естонії змушений був перевипустити електронні ключі для понад 700 тисяч осіб. Втім, офіційні особи ЄС запевняють, що серйозних загроз системі безпеки європейських ковід-сертифікатів немає.
Відкликати сертифікат «Адольфа Гітлера» неможливо, запевняє спікер Українського кіберальянсу Андрій Баранович. «Можна хіба що відкликати ключ, яким у певній країні авторизують сертифікати ― але це зробить недійсними тисячі або десятки тисяч інших, справжніх сертифікатів. Перевипускати їх складно, бо доведеться виходити на всіх цих вакцинованих людей, отримувати від них підтвердження щеплення», ― сказав він «Бабелю». Проблему з «Губкою Бобом» можна вирішити на рівні кожної окремої країни, заносячи конкретні сертифікати до чорного списку.
У майбутньому такі інциденти неминучі, переконаний Баранович: «У єдиній системі сертифікатів щеплення ― 40 країн Європи, а це тисячі компʼютерів лікарів. Імовірність, що хтось внесе неправдиві дані про вакцинацію за хабар чи заради жарту ― висока. В Україні ж теж так відбувається». Однак загалом системі це не загрожує, запевняє IT-експерт. Мовляв, на тлі всього масиву даних окремими випадкам неправдивих сертифікатів можна знехтувати. Та й виявити і покарати недобросовісних лікарів нескладно.
«Можна провести контрольну закупівлю фейкових сертифікатів, побачити, який лікар вніс дані в систему ― і злочин зафіксовано. В Україні вже є кілька сотень таких справ, ― каже Баранович. ― Інша річ ― якщо хтось отримає доступ до ключа, яким авторизують сертифікати. Тоді можна буде фальсифікувати дані масово. В Україні такі ключі зберігаються в Міністерстві цифрової трансформації. Сподіваюсь, дуже надійно, бо інтерес до них можуть проявити ті ж російські хакери, за плечима яких уже чимало кібератак на українські IT-системи».
Представники «Дії» чи Міністерства цифрової трансформації України на інцидент офіційно не відреагували. «Бабель» намагався отримати коментар у заступника Міністра цифрової трансформації Олексія Вискуба, однак на телефонні дзвінки та СМС він не відповів.
Електронні сертифікати ― справа складна, а от із «Бабелем» усе просто й прозоро: ви нам донати, ми вам ― якісні матеріали.