Hack de certificados de vacinação COVID-19 no mundo e em Portugal.

Nas últimas semanas inúmeras ocorrências de falsificação de passaportes/certificados relativos à vacinação do Covid-19 fizeram manchete. Por exemplo, a chave privada usada para assinar os certificados da UE vazou e está a ser divulgada e comercializada em fóruns underground.

A chave foi utilizada para gerar certificados falsos, como os de Adolf Hitler, Mickey Mouse, Sponge Bob – todos os quais estão sendo reconhecidos como válidos pelas aplicações oficiais do governo.

Em vários grupos (principalmente  do Telegram) circulam vários Green Pass forjados com assinatura válida. Existe a possibilidade de que uma base de dados de chaves privadas esteja comprometida e isso pode comprometer a cadeia de confiança do Green Pass.

 

Um dos casos mediáticos e registado nos últimos tempos é um certificado falso em nome de Adolf Hitler, e que está a ser reconhecido como válido pelas ferramentas de validação de certificados digital da Covid-19.

 

Ambas as versões iOS e Android da aplicação Verifica C19 interpretam o QR code de Adolf Hitler como um certificado válido.

 

Também passaportes Europeus tendo como ponto de entrada a Polónia têm sido observados e muitos deles comercializados por $300.

 

 

Hack de certificados e testes PCR / AG em Portugal

Em Portugal o panorama não é diferente, e já há algumas semanas que um método semelhante tem vindo a ser divulgado em canais do Telegram, WhatsApp e fóruns underground.

Os autores do esquema desenharam um template web à medida com o nome “Laboratório Santa Liberdade”, e com uma imagem bem conhecida e utilizada em memes na Internet.

 

A ferramenta não legítima permite gerar testes PCR / AG em nome de determinados laboratórios em Portugal, nomeadamente:

 

A plataforma utiliza a biblioteca “pdftk 3.0.2” (versão Java e PHP disponíveis no GitHub) para gerar um PDF semi-preenchido e falso de testes PCR / AG, com assinaturas legítimas de profissionais de saúde em Portugal.

 

Por outro lado, o sistema permite também gerar certificados digitais falsos utilizando diferentes vacinas, nomeadamente:

 

Uma vez mais, a mesma biblioteca (“pdftk 3.0.2“) é usada para gerar o Certificado Digital Covid UE / EU Digital Covid Certificate.

 

Os domínios utilizados pelos autores do sistema ilegítimo estão a operar sob a CDN CloudFlare de forma a mascarar o endereço de IP origem do servidor que hospeda todo o sistema web. Todos os domínios foram marcados como maliciosos no 0xSI_F33d – um f33d que compila ameaças de phishing e malware em Portugal.

efyr.me
nlew.me
efzd.me
ngn2.me
nltz.me
testenahora.net 
certificadodigital.lol

 

Como mencionado e apresentado abaixo, os nameservers associados aos domínios são os da CloudFlare: chance e mira.

 

Contudo, e provavelmente por lapso dos autores que operam o sistema, foi possível identificar o servidor de origem [504e16c6.host.njalla.net], geo-localizado na Suécia, Jönköping, Vetlanda.

 

Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.

Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de  IP/domínios de forma eficaz.

Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d.