Hộ chiếu vắc xin số của EU dành cho điện thoại thông minh hứa hẹn sự tự do di chuyển an toàn hơn, cả trong và ngoài biên giới của khối vào mùa hè này.

Trong khi các chính trị gia đã nhanh chóng nhận được lời khen cho việc triển khai nhanh chóng, các chuyên gia từ công ty bảo mật Đức GData Cyber ​​Defense đã phát hiện ra một số lỗ hổng, bao gồm cả nguy cơ làm giả.

Ông Thomas Siebert, người đứng đầu bộ phận công nghệ bảo vệ của GData có trụ sở tại Bochum, cho biết điều này không phải do thiếu công nghệ mà là do tốc độ phát triển dự án.

“Tốc độ triển khai rõ ràng là ưu tiên hàng đầu sơ với tính bảo mật", ông Siebert nói.

Ông Tim Berghoff, một chuyên gia bảo mật tại GData, cho biết các lỗ hổng bảo mật đầu tiên liên quan tới những thông tin tiêm phòng. "Hộ chiếu kỹ thuật số này không chứa số lô vắc xin được tiêm chủng, nơi thực hiện tiêm chủng hoặc người thực hiện tiêm chủng", ông cho hay.

Ngoài ra, khi giấy chứng nhận tiêm chủng được tạo tại nhà thuốc hoặc văn phòng bác sĩ, các mục nhập không được kiểm tra tính chính xác. Nhóm GData đã tìm thấy một ngày tiêm chủng không chính xác tại hiệu thuốc khi người nhập đã vô tình nhập nhầm ngày tiêm chủng đầu tiên 2 lần.

Thay vì một thông báo lỗi, hộ chiếu đã được xác thực mà không có bất kỳ cảnh báo nào. 

Một lỗ hổng khác là chữ ký điện tử vẫn chưa được kiểm tra. Nhóm bảo mật đã có thể "đưa đại dịch Covid-19 trở lại thế kỷ 19 và cung cấp chứng chỉ tiêm chủng kỹ thuật số giả cho một người sinh năm 1843".

Họ đã tạo ra một danh tính được đặt theo tên của nhà vi sinh vật học nổi tiếng người Đức và người đoạt giải Nobel Robert Koch. Việc tiêm phòng cho ông Robert Koch giả sẽ diễn ra vào năm 1890, tức là lúc ông còn sống. Nhưng như ông Siebert đã chỉ ra, "ứng dụng cảnh báo Covid-19 đã chấp nhận giấy chứng nhận tiêm chủng này mà không có bất kỳ cảnh báo lỗi nào".

Mặc dù thời gian chờ đợi tối thiểu để hộ chiếu có hiệu lực là hai tuần sau mũi tiêm cuối cùng, không có bất kỳ lỗi nào trong việc xác nhận ngày tiêm cuối cùng của ông Koch giả. Giấy chứng nhận tiêm phòng của chúng tôi đã có hiệu lực được 103 năm", ông cho hay.

Theo quan điểm của ông Berghoff, điểm yếu rõ ràng nhất là chức năng hiển thị hộ chiếu vắc xin trên điện thoại, vì chữ ký điện tử không được kiểm tra. "Tôi cũng có thể đưa chứng chỉ ảo vào ứng dụng cảnh báo virus Corona và vẫn được hiển thị như thường".

Ông Thomas Siebert cho biết một tiêu chuẩn chất lượng không liên quan đến tổ chức phát hành. Điều này là do RKI thực tế không nhận được dữ liệu, mà chỉ phát hành các khóa mật mã để ký giấy chứng nhận tiêm chủng. Điều này có nghĩa là nếu một hiệu thuốc yêu cầu bằng chứng về việc tiêm vắc xin cho Vịt Donald, thì có khả năng họ sẽ nhận được chứng nhận.

Về nguyên tắc, đối tượng lừa đảo chỉ cần có giấy chứng nhận tiêm chủng giả. Việc xác minh chứng nhận từ một bác sĩ tại một thành phố khác, thậm chí là một quốc gia khác là rất khó khăn.

Ông Siebert cho biết: “Giấy chứng nhận giả hầu như luôn bao gồm chứng nhận hợp lệ từ các bác sĩ và cơ quan có thẩm quyền".

Giả mạo các tài liệu liên quan đến tiêm chủng COVID19 có thể bị trừng phạt theo Đạo luật Bảo vệ Chống Nhiễm trùng của Đức có hiệu lực vào ngày 1/6. Bất kỳ ai bị bắt có thể phải đối mặt với 2 năm tù.

Ông Berghoff nói rõ ràng việc Bộ Y tế Đức đã gây áp lực rất lớn để chứng chỉ có thể đi vào hoạt động trước kỳ nghỉ hè.

"Họ đương nhiên muốn đưa ra một giải pháp thích hợp để cho phép người dân lấy lại một chút bình thường cho kỳ nghỉ hè. Điều đó tự bản thân nó không phải là một điều xấu. Tuy nhiên, trong trường hợp này, rõ ràng là phải trả giá bằng an ninh", ông cho hay.