Een ogenschijnlijk functioneel EU Digital Covid-certificaat met de naam van Adolf Hitler is deze week online verspreid, voordat het ongeldig werd verklaard. Het incident roept vragen op over de beveiliging van het ‘vaccinpaspoort’-systeem.
Dinsdag verscheen een QR-code online en bij het scannen met verschillende verificatie-apps onthulde een werkend digitaal EU-Covid-certificaat met de naam “Adolf Hitler”, geboren op 1 januari 1900. Verschillende versies van de code werden vervolgens opgemerkt op technische forums, sommige met de naam met een hoofdletter, andere met een andere geboortedatum. Maar iedereen zou de Führer toegang hebben verleend tot elk indoorevenement dat verboden is voor niet-gevaccineerden.
Het verhaal werd opgepikt door de Italiaanse media , maar het is niet bekend waar de beveiligingssleutels die nodig zijn om Hitlers QR-code te genereren eigenlijk vandaan kwamen. Il Post meldde dat Hitlers pas was uitgegeven met een sleutel uit Frankrijk, maar merkte op dat deze informatie ook vervalst kon zijn.
Het Europabrede Covid-passysteem werkt door een openbare sleutel (vervat in de QR-code en zichtbaar voor iedereen die de code scant met een app) te koppelen aan een privésleutel (die wordt bewaard door ziekenhuizen of andere zorgverleners). Locaties die de geldigheid van iemands Covid-pas controleren, scannen de code en ontvangen een groen vinkje als deze overeenkomt met de privésleutel, of een rood kruis als dat niet het geval is.
Vanaf woensdagmiddag werd de privésleutel die werd gebruikt om de pas van Hitler te verifiëren ingetrokken, maar een Poolse gebruiker op een technisch forum beweerde nog steeds werkende certificaten te verkopen, net als enkele posters op het zogenaamde ‘dark web’.
Of de privésleutel die werd gebruikt om de pas van Hitler te valideren, werd gestolen of gelekt, blijft een mysterie. Als alternatief kan een zorgmedewerker met toegang tot de privésleutel het valse certificaat voor de nazi-leider hebben gegenereerd.
Gelekte of gestolen sleutels vormen een serieus probleem voor het Covid-certificaatsysteem van de EU. Een willekeurig aantal passen kan worden gegenereerd op basis van een enkele privésleutel, wat betekent dat het intrekken van een van deze sleutels elke pas die erop is gebaseerd, echt of nep, ongeldig zou maken. Het opnieuw certificeren van honderden of zelfs duizenden passen tegelijk kan het vertrouwen van het publiek in het systeem schaden, dat in sommige landen al impopulair is.
Hitler is niet de eerste spraakmakende naam die een nep Covid-certificaat krijgt. Eerder deze maand werd een Franse tiener gearresteerd toen hij probeerde een ziekenhuis binnen te komen met behulp van de gezondheidspasgegevens van president Emmanuel Macron. De openbare gegevens van de Franse president waren online gelekt, wat betekent dat iedereen zijn QR-code als zijn eigen QR-code kon gebruiken en dat de code als geldig zou worden gelezen. Het zou echter onmiddellijk duidelijk zijn voor een ambtenaar die de code persoonlijk controleert dat de gebruiker in feite niet de president was.
De 19-jarige presenteerde eerder deze week de QR-code van Macron aan de deur van een ziekenhuis in Marseille, maar hield de bewakers niet voor de gek, die hem binnen lieten voordat ze de politie belden. De tiener werd vervolgens gearresteerd en in politiehechtenis genomen, volgens meerdere berichten in Franse media.
Hij werd later vrijgelaten en kreeg een boete voor “presentatie van een gezondheidsdocument van een derde partij”. De tiener zei naar verluidt dat hij zelf geen ‘gezondheidspas’ had en besloot de gegevens van de president ‘gewoon voor de lol’ te gebruiken.
De gegevens van Macron zijn vorige maand online gelekt – naar verluidt door een gezondheidswerker met toegang tot de vaccinatiedatabase van de overheid – samen met de gegevens van premier Jean Castex, die werden gescand vanaf een persfoto. Naar aanleiding van de lekken is een onderzoek gestart en zijn de QR-codes van Macron en Castex gedeactiveerd.
Het Franse ‘gezondheidspas’-systeem, geïntroduceerd in de zomer, vereist dat burgers een bewijs van vaccinatie of een negatieve coronavirus-test overleggen om onder andere toegang te krijgen tot bars, restaurants, winkelcentra of het openbaar vervoer. Het systeem is controversieel gebleken en sinds de introductie ervan hebben duizenden demonstranten bijna elk weekend de straten van Parijs en andere grote steden overspoeld.
Wij vragen jou om ons te steunen Overweeg alstublieft om ons te steunen als donateur of ondersteunend lid, ook wij hebben onze inkomsten zien dalen in deze heftige tijden daarom, KLIK HIER voor IBAN of via PayPal hieronder!, hartelijke dank en veel leesplezier.
Steun SDB via PayPal veilig en simpel.