Verkossa leviää väärennetty koronapassi – menee läpi Koronatodistuksen lukija -sovelluksella - Tietoturva - Ilta-Sanomat

Väärennetty koronapassi leviää verkossa

Mitä ilmeisimmin kyse on kaupankäynnistä väärennetyillä koronapasseilla.

19.10. 10:55

Suomenkielisissä verkkokeskusteluissa levitetään väitettä, jonka mukaan koronapassin digitaalinen allekirjoitus olisi vuotanut, mikä mahdollistaisi teoriassa toimivien koronapassien väärentämisen mille tahansa nimelle.

Koronapassin qr-koodissa oleva viranomaisen digitaalinen allekirjoitus takaa passin tietojen aitouden, ja sitä on hyvin vaikea murtaa. Kuitenkin jos joku ulkopuolinen pääsee käsiksi salassa pidettävään allekirjoitusavaimeen, sillä on mahdollista luoda koronapasseja mielivaltaisesti.

Eilen nähdyissä suomenkielisissä verkkokeskusteluissa esiteltiin väärennettyä koronapassia, johon oli tekaistu etu- ja sukunimiksi merkkijonot, jotka ohjaavat tiettyyn salatussa pikaviestimessä toimivaan kanavaan. Mahdollisesti kyse on markkinapaikasta, jossa myydään väärennettyjä todistuksia.

Kun passin qr-koodi luetaan Koronatodistuksen lukija -sovelluksella, se näyttää vihreää eli passi on hyväksytty.

Terveyden ja hyvinvoinnin laitoksen tiedonhallintajohtaja Aleksi Yrttiaho vahvistaa, että asia on viranomaisilla tiedossa ja selvityksissä. Verkkoväitteiden mukaan digitaalinen allekirjoitus olisi peräisin Saksasta. THL odottaa parhaillaan lisätietoja.

Vaihtoehtoja on käytännössä kaksi. Ensimmäisessä jonkun maan terveydenhuollossa on petollinen työntekijä, jolla on pääsy digitaalisiin allekirjoitusavaimiin ja joka tehtailee väärennettyjä koronatodistuksia maksusta.

Toinen vaihtoehto on, että kokonaisen maan digitaaliset allekirjoitukset ovat vuotaneet. Tämä mahdollistaisi esimerkiksi laajamittaisen väärennettyjen koronapassien tehtailun tarkoitusta varten tehtävillä generaattoreilla.

Yrttiaho huomauttaa, että toistaiseksi väärennöksiä on nähty yksi kappale. Digitaaliset allekirjoitukset mahdollistava järjestelmä ei myöskään ole rikki tai murrettu, sillä jos yhden maan digitaalinen allekirjoitus on vuotanut, se on peruttavissa ja korvattavissa uudella allekirjoituksella kyseisen maan osalta.

Tällöin kyseisen maan koronapassit – sekä aidot että väärennetyt – alkavat luettaessa näyttää punaista ja tämän maan kansalaisten tulee ladata koronatodistuksensa uudelleen.

Yrttiahon mukaan kenenkään terveystiedot eivät ole tilanteessa uhattuna. Hän kehottaa olemaan kokeilematta ja hankkimatta väärennettyjä koronapasseja.

Oikea koronatodistus puhelimen näytöllä.

Tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppösen mukaan on mahdollista, että väärennettyjä koronapasseja salatussa pikaviestimessä myyvä henkilö on välikäsi passeja ulkomailla tehtailevalle taholle.

- Kyseessä saattaa olla tilanne, joka vertautuu pankin työntekijään, joka vaihtaisi ihmisten tilinumeroita ja siirtäisi rahaa tililtä toiselle. Mitään perustavanlaista ei ole rikki.

Hyppönen sanoo pitävänsä koronapassien taustalla olevaa monimutkaista matemaattista allekirjoitusjärjestelmää yhtä turvallisena kuin verkkopankkien suojausta.

Osion tuoreimmat

Luitko jo nämä?