Älä jaa koronapassin qr-koodia somessa - Tietoturva - Ilta-Sanomat

Tarkkana korona­passin kanssa – älä tee tätä virhettä

Väärissä käsissä qr-koodillasi voidaan yrittää päästä vaikka yökerhoon.

23.10. 7:01

Virallista koronatodistusta eli koronapassia koristava qr-koodi on jossain määrin ongelmallinen, kokee tietokirjailija Petteri Järvinen.

Qr-koodi on kännykän kameralla luettava neliömäinen ja aina erilainen symboli, jota on käytetty esimerkiksi mainoksissa ohjaamaan mainostajan verkkosivuille. Koronapassin tapauksessa esimerkiksi tilaisuuden järjestäjä tarkistaa koodin avulla, että osallistujan voi päästää sisälle.

Toisen henkilön koodi voi auttaa ihmisiä keplottelemaan itsensä paikkoihin, joihin heillä ei ole asiaa.

– Tarkistajan pitäisi verrata, että todistuksessa oleva nimi vastaa henkilöllisyystodistuksen nimeä, mutta luultavasti tämä tarkistus jää usein tekemättä, ja silloin passi ei ole minkään arvoinen. Qr-kuva tai paperituloste voi olla täysin toiselta henkilöltä, Järvinen pohtii blogissaan.

Järvisen mielestä qr-koodin jakamista ei voi pitää erityisen vaarallisena, mutta ei toisaalta suositeltavanakaan.

– Omien henkilötietojen levittäminen kannattaa aina minimoida, Järvinen painottaa.

Koronatodistusta ei myöskään kannata somettaa tai muutenkaan jakaa internetissä. Jo pelkän qr-koodin kautta voi paljastua henkilökohtaisia tietoja. Asiasta varoitti Koronatodistuksen lukija -sovelluksen kehittäneen Solitan teknologia-asiantuntija Sami Köykkä Twitterissä.

Lue lisää: Korona­passin luku­sovellus on pian täällä – kuka tahansa voi ladata sen puhelimeensa

– Älä jaa nettiin kuvia qr-koodistasi. Se sisältää kaikki samat tiedot kuin koronatodistuksesi. Vaikka koronatodistuksen lukijasovellus ei tietoja näytäkään, ne on kuitenkin mahdollista purkaa osaavissa käsissä.

Koodissa on samat tiedot kuin paperillakin, eli koko nimi, syntymäaika ja tiedot rokotuksista niiden ajankohtaa ja valmistajaa myöten. Lisäksi on tieto mahdollisesta negatiivisesta koronatestistä ja koronan sairastamisesta.

– Riski on sama kuin muutenkin näitä tietoja julkisesti jakaessa, Köykkä sanoo.

Tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppösen mukaan tiedot eivät vielä yksinään riitä identiteettivarkauteen, mutta tietoja voidaan käyttää osana sellaista. Koodista kun ei saa irti koko henkilötunnusta.

–  Ei niitäkään tietysti kannata levitellä, mutta ei niillä vielä kauhean pitkälle pötkitä, Hyppönen sanoi STT:lle.

Lue lisää: Asiantuntija: Koronapassin väärinkäytön riski ei liity niinkään henkilötietoihin, vaan toisen ihmisen passin käyttöön

EU:n koronatodistuksen saa joitakin poikkeuksia lukuun ottamatta Omakannasta tai tarvittaessa paperisena versiona terveydenhuollosta.

Osion tuoreimmat

Luitko jo nämä?