Prima quello di Adolf Hitler, poi quelli di Topolino e Spongebob. Cosa sta accadendo al Green Pass? È stato bucato come suggerisce l’hashtag in tendenza su Twitter nelle ultime 24 ore? Sono state rubate le chiavi private impiegate dagli stati per il rilascio delle certificazioni? È solo uno scherzo ben congegnato da qualcuno con accesso al sistema e uno strano senso dell’umorismo? O forse c’è altro?
Qual è la verità sul #GreenPassBucato?
Tante domande, ma al momento nessuna risposta ufficiale, nonostante gli addetti ai lavori stiano cercando di venirne a capo. L’unico modo a disposizione per sbrogliare la matassa è quello di valutare ogni congettura. Una di queste apre a uno scenario forse ancora peggiore rispetto a quello meno auspicabile ipotizzato fino a poche ore fa: nessun furto delle chiavi, nessun burlone, ma un punto debole del sistema che consentirebbe potenzialmente anche a soggetti non autorizzati di accedere al pannello per l’emissione delle certificazioni, permettendo loro di generare codici ritenuti poi risultanti validi al controllo di applicazioni come VerificaC19.
Some anon got access to a #COVID19 certificate issuance panel and is claiming to have all the EU private keys saying he will leak them soon
I'm kinda amazed at how poorly secured this shit is for someone random to get access like that..
Archived thread: https://t.co/lNhE9oCKoz pic.twitter.com/etePS8M2wX
— Xiloe (@Xiloeee) October 27, 2021
Scovati inoltre su 4chan alcuni screenshot riconducibili a un portale attraverso cui creare i QR code inserendo dati del tutto inventati.
.@DavidPuente @disinformatico Greenpass a nome di Spongebob Squarepants. Generati da portale; questo screenshot viene da 4chan. Il pass é valido con VerificaC19 (28/10 01:11pm con update del 27 alle 11:43) pic.twitter.com/0XiKefUoNj
— Andrea Santaniello ?☠️ (@lupetto_) October 27, 2021
Matteo G.P. Flora fa un passo in più, suggerendo un legame tra il portale in questione e l’EU Digital COVID Certificate Issuance Web Frontend che fa capo al reporisoty GitHub ufficiale del progetto europeo, utile agli addetti ai lavori per generare preview dei documenti e accertarsi che tutto funzioni a dovere. Di seguito il filmato in cui viene esposta la teoria.
Per quale motivo, se l’ipotesi fosse confermata, saremmo di fronte a uno scenario addirittura peggiore rispetto a quello conseguente al furto delle chiavi attribuite ai singoli paesi? Semplicemente, perché diventerebbe di fatto impossibile revocare i certificati falsi, pur volendo intervenire di forza invalidando tutti quelli emessi in un intero paese.
Come abbiamo avuto modo di scrivere nei mesi scorsi su queste pagine, già l’operazione è di per sé piuttosto complessa e almeno in Italia non è previsto un metodo per farlo sui singoli Green Pass. Per avere un quadro più completo si aggiunga che sarebbe pressoché impossibile far leva su un elenco di quelli fasulli, in quanto all’atto della generazione l’anteprima non viene salvata e non risulta in alcun archivio, ma può al tempo stesso essere scaricata, conservata ed esibita al momento della scansione, senza lasciare traccia.
Risulterebbe inutile anche imporre l’obbligo di controllare il documento d’identità (come peraltro previsto inizialmente), poiché le certificazioni fai-da-te potrebbero essere intestate non solo ad Adolf Hitler o Topolino, ma a Mario Rossi o Francesco Bianchi. Una bella grana.