Per generare i green pass di Hitler validi (ci sono tanti altri casi in Rete) non sono state rubate le chiavi che consentono la generazione dei certificati verdi Covid-19. Ma, alcuni esperti, hanno trovato una falla nel software di erogazione dei green pass di alcuni Paesi, ma non dell’Italia. Quindi, risulta oggi, un abuso delle chiavi e del sistema per creare i green pass.
Falsi green pass, ma validi: ecco la falla
I falsi green pass, ma validi, sono stati così generati:
- Chi ha abusato dell’accesso al sistema ed ha approfittato della falla, ha potuto digitare i dati, anche di Adolf Hitler, fare l’anteprima del green pass, ma senza salvare, ha spiegato Matteo Flora. In questo modo, la falla del sistema, ha scoperto Andrea Santaniello, rende l’anteprima crittograficamente valida e genera comunque il codice identificativo univoco del green pass che lo rende valido e può essere anche condiviso.
Dunque, così come accertato, emerge una grave vulnerabilità al sistema di erogazione dei green pass, realizzati non security by design. L’ambiente aperto agli sviluppatori è lo stesso usato per generare i Green pass validi? Avrebbero dovuti agganciarlo all’ambiente di prova. Nel repository su GitHub sono presenti i link ai servizi degli ambienti reali che usa il ministero della Salute nazionale per generare i green pass? Sarebbe una falla da correggere subito, per evitare la circolazione di falsi green pass, ma validi. Questo di Hitler è stato poi annullato. Ma quanti altri così illegalmente generati sono in circolazione?
Matteo Flora ha spiegato il tutto in questo video.
Articolo in aggiornamento