Green pass di Hitler, la colpa è stata di un'app non protetta

La vicenda dei falsi Green pass intestati a Hitler diffusi in rete come prova dell'avvenuto furto delle chiavi necessarie per generare i certificati sembra essere finalmente stata chiarita. Secondo quanto riportano testate specializzate, infatti, le chiavi non sono state rubate. Ma la realtà è forse addirittura peggiore: l'interfaccia web utilizzata per generare manualmente i QR code europei era infatti accessibile senza protezioni adeguate.

Quindi se il "semplice" furto delle chiavi, benché gravissimo, si sarebbe potuto "arginare" annullando quelle chiavi e tutti i Green pass da loro generati (quindi non solo quelli abusivi ma anche quelli leciti), in questo caso la questione è più complessa.

In sostanza, spiega Dday.it, a essere compromessa è stata l'interfaccia open-source (esposta su un indirizzo internet della Macedonia) utilizzata per accedere al server di backend (sul quale risiedono le chiavi per firmare il certificato generato): questa applicazione, prima di emettere realmente il certificato (del quale resterebbe traccia sui server), ne genera una preview che può, nelle intenzioni, essere utilizzata per verificare che il codice funzioni regolarmente. Ed è stato proprio questo QR di preview a essere stato emesso a nome di Hitler: funziona, è valido (perché è "firmato" dall'applicazione europea), ma ufficialmente non è mai stato emesso e quindi nessuno sa che esiste.

La complicazione sta quindi nel fatto che se dei Green pass di Hitler pubblicati online si poteva risalire alle chiavi utilizzate e bloccarle, il rischio è che questa clamorosa falla del sistema abbia consentito di generare chissà quante migliaia di Green pass fraudolenti che vengono però accettati in tutta Europa perché regolarmente "firmati" dal server. E quindi non basta più bloccare le chiavi utilizzate per generare i QR di Hitler, perché nessuno sa se ne siano state utilizzate altre (e quali) per generare QR fasulli che cittadini europei stanno usando regolarmente. E anche se la "falla" sarà verosimilmente chiusa a breve, non è possibile sapere se abbia realmente consentito di generare un solo, oppure dieci, oppure milioni di falsi Green pass. L'unica soluzione certa sarebbe quella di annullare tutti i Green pass emessi in Europa e riemetterli, ma è ovviamente una strada impraticabile