Falsari del Green pass: hacker rubano le chiavi per generare i certificati. «Uno era intestato a Hitler»

Falsari del Green pass: hacker rubano le chiavi per generare i certificati. «Uno era intestato a Hitler»

Le chiavi crittografiche che permettono di generare il green pass utilizzabile in tutti i paesi dell’Unione europea sono state rubate e con quelle sono stati realizzati documenti falsi che sono risultati perfettamente validi alla verifica con le app ufficiali. Una falla preoccupante dunque nel sistema anche se la reale entità del furto e dei danni che possa aver provocato a livello europeo non è ancora chiara.

Non si sa quale sia il paese, o i paesi, che hanno subito la compromissione dei propri sistemi informatici, ma pare che il furto sia partito dalla Francia e dalla Polonia. Più chiaro è, invece, come è stato scoperto il furto: dalla serata di martedì hanno iniziato a circolare su Twitter, sui siti specializzati e sui forum di settore, due green pass intestati ad Adolf Hitler, con unica differenza la data di nascita. Nonostante si trattasse di una bufala i pass avevano però un Qr code che, se scannerizzato con la app ufficiale del ministero della Salute Verifica C19, risultava valido. E, dunque, utilizzabile.
Le verifiche condotte in Italia dall’Agenzia per la cybersicurezza nazionale, dagli enti e dai ministeri interessati e dalla Polizia Postale qualche risposta l’hanno data, anche se sono ancora molti i punti da chiarire. La prima è, appunto, che qualcuno avrebbe sottratto alcune chiavi che consentono di realizzare il green pass, ognuna delle quali può attivare più certificazioni verdi, e non lo ha fatto in Italia: dai primi accertamenti investigativi e dalle informazioni d’intelligence non risultano infatti attacchi informatici alla Sogei, la società che nel nostro paese fornisce i codici con i quali vengono generati i certificati verdi.

L’altra ipotesi è che qualcuno abbia fatto un utilizzo improprio della chiave stessa. Le autorità hanno deciso di bloccare immediatamente le chiavi che sono state sottratte. Mossa che, di conseguenza, ha invalidato tutti i green pass generati con quei codici poiché ogni certificato emesso da un singolo paese dell’Unione dialoga con una database centrale dove ci sono tutte le chiavi che li generano. Per definire meglio i contorni dell’intera vicenda è stato convocato un vertice della cybersecurity.