Хитлер и Sponge Bob со валидни ЕУ сертификати за COVID, повлечен македонски јавен клуч за EU DCC

Личноста Адолф Хитлер, роден на 1-ви јануари, 1900 година и со примена втора доза на Pfizer вакцина на 1-ви октомври, 2021 има изгенерирано валиден ЕУ Digital Covid Pass сертификат со кој може да патува согласно COVID рестрикциите, сподели Twitter јузерот @MarcelloIenca пред два дена. Сертификатот на фиктивниот Хитлер е потпишан валиден COVID сертификат издаден во францускиот здравствен систем – со што веднаш се покрена сомнеж дека некој има неовластен пристап до приватниот клуч преку кој се потпишуваат COVID сертификатите валидирани во Европскиот систем за дигитални зелени сертификати (DGC/DGCI/DGCA), чиј код за front-end веб апликацијата може да се пронајде на GitHub.

Набрзо, на интернет започнаа да се шират и валидни сертификати за Sponge Bob и други фиктивни карактери што јасно укажа дека сомнежот за злоупотреба на ЕУ Pass дигиталните сертификати е реален.

Twitter корисникот @Xiloe, вчера објави малку подетални информации за ситуацијата во серија твитови објавени на неговиот профил, и си издаде свој сертификат на име Xiloe Test потпишувајќи го сертификатот со македонскиот приватен клуч за издавање на ЕУ DCC сертификати, а пред два дена претходно на GitHub профилот на проектот за Electronic Health Certificates Specification се водеше дискусија за можниот проблем со приватните клучеви на сертификатите.

Според овој Twitter корисник кој според објавите на GitHub и Twitter има искуство на поле приватност, хакирање и истражување на веб апликации, злоупотребата е преку веб панелот за издавање DGCA кој користи API повици за испраќање на податоци во QR код и после ги враќа потпишани со приватниот клуч – наведувајќи дека пристап до приватниот клуч не е потврден.

Денешната тема “Повлечен Македонскиот јавен клуч за издавање/верификација на Ковид сертификати” на ИТ форумот, започната од членот Gilfoyle, открива дополнителни информации на темава:

“Од тоа што начелно се кружи како информација дека македонски сервер што комуницирал со DGCI бил отворен поради лошо конфигуриран docker-compose port forwarding (појаснување од страна на членот Gilfoyle: информацијата за docker-compose доаѓа од Federico Maggi – истражувач за Trend Micro), односно можело да се прават API повици без никаква најава па дури и да се стигне до самиот web interface и да се креира нов сертификат за било кого од било каде и истиот да е верификуван и валиден.” – пишува во првиот пост членот Gilfoyle.

Во својот пост, членот потврдува преку линк до GitHub на Tous Anti Covid (TAC) – апликација користена од француската влада – дека Tous AntiCovid и Tous Anti Covid Verify се првите што го инвалидирале македонскиот јавен клуч издаден од Министерство за здравство на 15-ти септември, 2021-ва година:

И според активноста на истиот GitHub акаунт, клучот е обновен и нов сертификат е издаден на 28-ми октомври, 2021 во 08:24:

Повлекувањето на сертификатот со кој се издадени засега непозната бројка на EU DCC сертификати на македонски граѓани значи дека истите сертификати во периодот помеѓу 15-ти септември и 28-ми октомври се до моментот на повлекување невалидни во сите системи на ЕУ – што во нетехнички превод најчесто значи сериозни проблеми при патување.

Членот сподели и принт скринови во кои се забележува дека уште вчера, 28-ми октомври, во 15:42 одредени лица кои имале генериран ЕУ DDC сертификат добиле СМС пораки со содржина: “Почитувани, Ве известуваме дека вашиот EU DCC сертификат е повлечен поради технички причини. Ве молиме генерирајте нов преку профилот на vakcinacija.mk

Повлечени и обновени сертификатите и на Германија, Франција и Велика Британија

Како што потенцира и членот gdamjan во истата тема на ИТ форумот, според активноста на GitHub профилот на TAC може да се забележи и дека се повлечени сертификатите и на Германија, Франција и Велика Британија, со што се зајакнува претпоставката на Twitter корисникот @Xiloe дека злоупотребата на сертификатите е направена преку искористување на API повици а не со добивање пристап и знаење на македонскиот приватен клуч.

Да нема забуна: се работи за ЕУ DCC сертификат, а не и за сертификатите на МЗ или CommonPass

На многу граѓани уште не им е јасно кој сертификат е всушност COVID пасошот и за кој сертификат станува збор во темава, и со право се збунети со оглед на тоа дека не се посветува никакво внимание на едукација и информираност, ниту UX-от на vakcinacija.mk помага во процесот и секој е оставен да се снајде што треба да генерира – или најчесто сценарио: да ја побара личноста што “барата со ИТ” во нивните блиски кругови и да им среди.

Системот на Vakcinacija.mk на Министерство за Здравство нуди четири сертификати:

  • COVID19 Сертификат за вакцинација од Министерство за здравство – ова е првиот сертификат кој се наоѓа на листата кога ке се логирате на Vakcinacija.mk и ова е сертификат издаден директно од Министерство за Здравство и потпишан директно со нивен сертификат – Национален сертификат за вакцинација. (овој сертификат не е афектиран во темава)
  • COVID19 Сертификат за прележан COVID од Министерство за здравство – налик на првиот сертификат, доколку имате прележано COVID и сте регистрирани во системот, како втора опција во Vakcinacija.mk ќе добиете можност за генерирање на сертификат (по истиот принцип како првиот) потпишан директно од Министерство за Здравство. (овој сертификат не е афектиран во темава)
  • CommonPass сертификат – ова е третата опција за генерирање на сертификат кој го нуди Министерството за Здравство, кој претежно е наменет за патување во САД и Канада и е поврзан преку системот на The Commons Project фондацијата. Потпишување на сертификатите иде преку инфраструктура на фондацијата. Повеќе тука (овој сертификат не е афектиран во темава)
  • EU Digital COVID сертификат – ова е четвртата опција која ви се наоѓа на профилот на Vakcinacija.mk. Со клик на Генерирај DCC сертификат ви се генерира европскиот DCC сертификат на ЕУ. (бинго!)

Согласно на горенаведеното, значи станува збор за проблеми со EU Digital Covid – EU DCC сертификатот, преостанатите се валидни. Уште еднаш, преостанатите три сертификати се валидни – и покрај тоа што Android апликацијата за CommonPass ја нема веќе на Google Play Store (забелешка: до моментот на пишување на овој текст, јавува ‘We’re sorry, the requested URL was not found on this server’).

Што вели Министерството за Здравство за случајов

Иако ги пингавме на нивниот верификуван Twitter профил, до моментот на објава на овој текст не добивме одговор, меѓутоа на сајтот на Zdravstvo.gov.mk како и повеќето портали може да се забележи циркулација на соопштение за јавност (кое за жал не го добивме ние директно, @МЗ плс ставете го IT.mk на листа за слични теми во иднина) кое го пренесуваме во целост:

Министерството за здравство информира дека во текот на вчерашниот ден, граѓаните кои имаат генерирано EU сертификат за вакцинација преку vakcinacija.mk треба преку веб порталот да генерираат нов. Станува збор за безбедносен протокол со што се спречи користење лажни EU сертификати, со лажни имиња и лажни податоци.

Сите земји што имплементирале EUDCC се соочуваат со постојани напади на нивните системи од трети, малициозни страни. Меѓу нив е и Република Северна Македонија. Како дел од ваков напад на систем, на 28.10.2021, трети страни успеале да изгенерираат четири лажни EU сертификати, со лажни имиња и лажни лични податоци, а на сертификатот пишувало  дека истите примиле вакцина во Република Северна Македонија. Во лажните EU сертификати не беа напишани имиња и податоци на наши државјани. Личните податоци на нашите граѓани се безбедни и нивната сигурност не е нарушена, а воедно, безбедноста на системите е зголемена и активно се следи и подобрува, што придонесува во иднина да се избегне ваков случај.


Тимовите на Министерството за здравство се во постојана комуникација со тимовите за сајбер безбедност што ја поддржуваат инфраструктурата на EUDCC, ангажирани од Европската комисија. Со цел поништување на лажните сертификати и обезбедување зголемена заштита, EU сертификатите на граѓаните на Република Северна Македонија се одново генерирани.


Секој граѓанин може, на многу едноставен начин, за помалку од една минута, да го преземе својот личен EU сертификат преку пристап на порталот vakcinacija.mk. Министерството за здравство потенцира дека не станува збор за генерирање или повлекување од употреба на Националниот сертификат за вакцинација, туку за генерирање на EU сертификатот кој исто така може да се преземе на vakcinacija.mk, како и CommonPass.

Дали и колку е виновно Министерството за здравство во случајов или пак проблемот е на ниво на ЕУ – односно провајдерите кои го имплементирале проектот, засега нема информации и може само да се шпекулира.

Меѓутоа, несомнено е дека со дигитализацијава на општеството, воведување на дигитални идентификации, мигрирање на скоро сите важни податоци во облаци и национални регистри на население, нема веќе простор за аматерско работење бидејќи едноставно одговорноста е преголема (драматизирање: ПРЕГОЛЕМА) – ова ја вклучува и неподготвеноста навремено да се реагира при шпекулации за злоупотреба (реално соопштението требаше да биде објавено пред 2 дена кога се појавија и првите шпекулации ).

Ненаучени лекции

Лекција 1: Обезбеди ја целата инфраструктура која се користи

И покрај фактот што пред само една година сајтот на Министерство за здравство беше дифејсиран и мејловите на министерството хакирани, нивниот сајт – кој во моменти на пандемија е еден од поважните сајтови каде што граѓани добиваат информации останува без сертификат, и дури јасно истакнато од страна на Google дека е “Not secure”:

Забелешка на редакцијата: Не го прифаќаме аргументот дека на сајтот нема никакви логирања и регистрации за да има потреба од SSL, потребата за обезбедување на сигурна конекција е многу поголема од само тоа кога има инпут од корисник (а на zdravstvo.gov.mk има, пример: тука), делумната сигурност обезбедена преку SSL е исто така потребна и за читање на информациите, особено за информации од Министерство за здравство во време на пандемија.

Лекција 2: Прави дистинкција што е “техничка грешка”

Вадењето на “техничка грешка” како што е напишано во СМС пораката е исто така воз кој одамна замина и не е воопшто темел на едно информатичко општество.

Лекција 3: Информирај – дури и што се случува тековно

Кога, пак ке кажеме особено во време на пандемија, на граѓаните им е важно и во некои случаи и од животно значење кога и каква информација ќе добијат, информирај соодветно. На пример, воопшто нема никаква информација на темава на сајтот на Vakcinacija.mk (до моменот на објава на овој текст) за потребата од регенерирање на EU DCC сертификатот. Сајтот останува штур и со преедноставен и реално грд кориснички интерфејс како што и беше, без притоа да ги информира граѓаните за ситуацијава со ЕУ DCC сертификатите – кои по логика на прво место би го посетиле vakcinacija.mk за да видат што се случува.

Лекција 4: Реагирајте на пријавите и бидете ажурни во комуникација

Не е директно поврзано со Министерството за здравство (освен фактот дека Eid.mk се користи за најава на Vakcinacija.mk), меѓутоа е поврзано со дигиталната инфраструктура на државава и нејзината поставеност. На пример, поминаа точно 28 дена откако го објавивме текстот “Туторијал: Како да извадите потврда за неосудуваност на телефон” во кој на крајот од текстот:

а) Јавно објавивме дека владин сајт GoDigital.mk кој е линкуван директно во футерот на Uslugi.gov.mk – еден од можеби најважните сајтови во процесот на дигитализација на македонското општество е хакиран и води до тајландски сајт за е-трговија.
б) Јавно поставивме доказ дека проблемот го пријавивме преку официјален канал за Поддршка (во хедерот на Uslugi.gov.mk) во кој објаснивме дека линкот во футерот води до тајландски сајт.

…и 28 дена подоцна, сајтот на Uslugi.gov.mk се уште линка до погодивте… тајландскиот сајт за е-трговија.
Ако го земеме во предвид фактот дека 28 дена официјално никој не реагира и не го корегира линкот на еден од најважните е-владини сајтови…. страв ни е да помислиме што е со нашите лични податоци во системите дел од оваа инфраструктура.

Добивај известувања
Извести ме за
guest
7 Коментари
Најнови
Најстари Со највеќе гласови
Inline Feedbacks
View all comments
trackback

[…] За олеснување на идентификацијата на вакцинацијата, Министерството за здравство претстави две апликации за паметни телефони кои се користат како доказ за вакцинираност и како алатка за потврда на вакциналниот статус. Двете апликации заедно се своевиден пар, па едната го чува сертификатот за вакцинација, а другата се користи за да ја потврди веродостојноста на сертификатот. Се надеваме дека големо внимание е посветено кон доверливоста на податоците и сертификатите, особено по случајот во кој беа издадени валидни ЕУ сертификати за ковид-19 на име на Ад…. […]

trackback

[…] penetrated the unprotected Macedonian server, from where they managed to get the key to the codes. IT.mk, a Macedonian information technology portal, showed how easy it was to bypass the national health […]

trackback

[…] penetrated the unprotected Macedonian server, from where they managed to get the key to the codes. IT.mk, a Macedonian information technology portal, showed how easy it was to bypass the national health […]

trackback

[…] на фактот дека беше потребно повеќе од месец дена да се тргне линк до хакиран сајт (тајландска е-продавница) на Uslugi.gov.mk, и […]

trackback

[…] IT.mk, македонски портал за информатичка технологија, го пренесува Твитер корисникот Xiloe, кој објавува скриншот од онлајн форум, каде анонимен корисник претходно објавил два дигитални сертификати, првиот на име Адолф Хитлер, со датумот на раѓање 20 октомври 1989, а вториот на име Џо Мама, со датум на раѓање 1 јануари 1990 година. […]

trackback

[…] Адолф Хитлер, роден на 1 јануари 1900 година и со примена втора доза на „Фајзер“ на 1 октомври 2021 година има изгенерирано валиден европски дигитален ковид сертификат со кој може да патува согласно ковид-рестрикциите. Сертификатот на фиктивниот Хитлер е издаден во францускиот здравствен систем, со што веднаш се покрена сомнеж дека некој има неовластен пристап до приватниот клуч преку кој се потпишуваат ковид-сертификатите валидирани во Европскиот систем за дигитални зелени сертификати, објави порталот It.mk. […]

види ги сите огласи на kariera.it.mk