בתוך דקות: הקלות שבה ניתן לזייף את תעודות החיסון

במשרד הבריאות מתגאים בתעודת מתחסן (דרכון ירוק) שמעניקה למי שהתחסן במנה השנייה, פטור מבידוד ובעתיד גם הטבות נוספות. אלא שכעת נראה כי התעודות ניתנות להורדה ללא הגנה, וכל משתמש ללא ידע יכול לזייף אותן

09/02/2021
זה כל כך קל: כך מזייפים את אחת מהתעודות הנחשקות ביותר כיום, תעודת מתחסן (יח״צ)

כדי לעודד את קצב ההתחסנות משרד הבריאות ביחד עם משרדי הממשלה יזמו "תעודת מתחסן". בתעודה מופיעים פרטי הזיהוי של המתחסן, לצד תאריכי החיסון ופרטים נוספים. מדובר בתעודה דיגיטלית המונפקת בפורמט PDF. תעודת ההתחסנות נועדה כדי לתת הקלות למי שהתחסן במנה השנייה ועברו 8 ימים מיום החיסון. בין ההטבות ניתן למצוא כניסה לאיים ירוקים, כניסה לאולמות תרבות, פטור מבידוד ועוד. אלא שמרגע פיתוח התעודה, החלו להימכר תעודות מזויפות למרבה במחיר. וואלה! TECH ביחד עם חברת האבטחה הישראלית צ'ק פוינט, מציגים את הקלות שבה ניתן לזייף את תעודת החיסון, ונכון לכתיבת שורות אלו, לא ניתן לאכוף תעודה מזויפת.

"כל מה שהתוקף צריך לעשות זה לעלות את התעודה המקורית לאתר של עריכת מסמכים, לשנות את השדות כפי שהוא רוצה, לייצר טקסט עם השם המלא שלו ולייצר ברקוד באתרים לייצור ברקוד, הערך של הברקוד הוא קידוד של השם ותאריך תפוגה. את הברקוד המזויף ניתן להוסיף דרך אותו אתר של עריכת מסמכים בקלות רבה ובעצם לייצר מסמך תעודת חיסון שנראה תקין לחלוטין", מסבירים לנו בצ'ק פוינט.

עוד בוואלה!

"האזנה לשיחה המנוהלת ליד מחשב": האקרים האיראנים עולים שלב

לכתבה המלאה
הקלות שבה ניתן לזייף את תעודות החיסון(צילום: יח״צ)

"משרד הבריאות ייצר את תעודת המתחסן, והוא כביכול ייצר רק "צד שרת", כלומר כל אחד שמתחסן נוצר לו פרמטר שאומר את השם ומה התוקף של החיסון", אומר עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט. "הפרמטר הזה מקודד ומועבר לשרתים של משרד הבריאות. אבל נראה שהם לא ייצרו את החלק השני, שאוכף. במשרד הבריאות יצטרכו לייצר מערכת שגם אם מזייפים את השמות או את הברקוד, ברגע שיסרקו את התעודה או הדף, אז היא תגיד 'מאושר או לא מאושר' ותציג את השם האמיתי שממנו הברקוד נוצר. כאן לדוגמה, מי שיאכוף יוכל לדרוש תעודת זהות או רישיון ולוודא שלא מדובר בתעודה מזויפת.

האם לעבור לתעודה מפלסטיק? ואנונו מסביר שזהו פתרון יותר טוב אבל זה כמובן תלוי בישום. "זה נחשב פורמט מאובטח יותר, אבל אם לא תהיה אכיפה משני הצדדים, ניתן יהיה גם לזייף את התעודות חיסון הללו. בנוסף אנחנו עוקבים לראות שלא יתחילו למכור את זה בדארק-נט או בערוצים נוספים", סיכם.

ממשרד הבריאות נמסר: תעודת המתחסן בפורמט הנוכחי, נועדה לספק מענה מהיר וראשוני בלבד. במקביל, המשרד בוחן מול מדינות אחרות בעולם ומול ארגון הבריאות העולמי, יישום ברקוד מאובטח בפורמט סטנדרטי שיהיה מקובל במדינות רבות בעולם, ולכשיוגדר- תופק תעודה חדשה במבנה הרלוונטי.

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    walla_ssr_page_has_been_loaded_successfully