Green pass, rubate le chiavi per generare i codici Qr

Adolf Hitler ha il green pass. Non è uno scherzo: lo confermano anche le app di verifica scansionando alcuni codici, circolati in rete in queste ore, che ne restituiscono i dati personali. La certificazione, ancorché evidentemente falsa, viene riconosciuta come autentica: potrebbe essere la prova che qualcuno ha rubato i codici sorgente (le chiavi) per generare i codici Qr necessari per lavorare in Italia e per svolgere attività al chiuso, oltre che prendere parte a concerti e spettacoli. L’Ansa ha appreso da fonti qualificate italiane che si sarebbe già deciso di annullare tutti i pass generati con le chiavi usate in questo procedimento. Chiunque sia responsabile di questa violazione, secondo gli esperti, sarebbe in grado di generare green pass personalizzati anche a chi non si è vaccinato o non ha eseguito tamponi e, dunque, non ne avrebbe diritto. 

Non solo: sul dark web sarebbero stati pubblicati e diffusi programmi fai da te per creare certificati falsi. In particolare, su Raidforums, uno dei forum più noti del dark web, un utente polacco sostiene di essere in grado di creare certificati falsi. Come prova, esaudisce la richiesta di un altro utente che gli chiede di crearne uno funzionante con il nome del Fürher. Inoltre, sempre su Raidforums, altri utenti proporrebbero la vendita della certificazione verde tramite Telegram.

Il furto, tuttavia, non dovrebbe essere avvenuto nel nostro paese: lo segnala Sogei, la società di Information Tecnology del ministero dell’Economia e delle Finanze che si occupa di fornire i codici per generare i certificati verdi in Italia. Non risulterebbero, infatti, attacchi informatici ai danni della struttura. Sono comunque in corso ulteriori accertamenti. Ci sono però ulteriori informazioni che stanno circolando in rete sulla “paternità” dell’attacco: secondo quanto spiega il blog di Paolo Attivissimo, specializzato in tecnologia, “l’ente emittente indicato nei codici Qr (di Hitler, ndr) sarebbe la Cnam francese (Caisse Nationale d’Assurance Maladie, omologa transalpina dell’Inps, ndr) ma il dato potrebbe essere stato immesso da chiunque abbia una chiave privata valida per l’emissione dei certificati Covid. La chiave privata, infatti, consente di firmare un certificato inserendovi qualunque valore o testo a piacere”. Stefano Zanero, docente di Sistemi di elaborazione delle informazioni al Politecnico di Milano, ha commentato così su Twitter: “Comunque che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia discutibile, è abbastanza evidente. Dovranno accertare com’è successo per evitare che si ripeta”.

Come risolvere la questione? La soluzione immediata è revocare la validità delle chiavi compromesse e generare nuovamente il codice Qr di tutti gli utenti interessati dalla manomissione. Tuttavia, per evitare che i criminali informatici trovino nuovi modi per aggirare il sistema di verifica, è fondamentale capire origine e modalità del furto delle chiavi.