Hitler on vaktsineeritud: internetis pakutakse võltsitud vaktsiinitõendeid

{{1635333720000 | amCalendar}}
1900. aastal sündinud Adolf Hitleri nimele genereeritud vaktsineerimistõend
1900. aastal sündinud Adolf Hitleri nimele genereeritud vaktsineerimistõend Autor/allikas: ERR

Internetis pakutakse müüa Euroopa Liidu vaktsineerimistõendeid, mis on võltsitud. Näiteks võib leida Adolf Hitleri nimega sertifikaate, mis ka Eesti ametliku kontrollilahendusel annavad autentse tulemuse. Tõenäoliselt süsteem siiski väga katki ei ole ja võimalik ostja saab pigem petta.

Koroonasertifikaatide võltsimine ei ole Euroopas väga värske teema. Mida rohkem on ühiskonnad nõudnud sertifikaatide näitamist, et elus osaleda, seda suurem huvi on olnud neid ka võltsida.

Vaktsineerimistõendi kõige olulisem osa on QR-kood, mis sisaldab krüpteeritud informatsiooni. Tõendikontrollirakendus, Eestis kontroll.digilugu.ee loeb andmed koodilt ja kontrollib, kas asjad on korrektsed. Seda üllatavam on näha koode, mille ilmselgeid valeandmeid näitab kontroll korrektsena.

Hitleri tõend Autor/allikas: *
Hitleri tõend 2

Näiteks on neil koodidel näha, justkui oleks vaktsineeritud Adolf Hitler. Ühel neist sündinud aastal 1930 ja teisel 1900. Selliseid QR-koode avaldati internetifoorumis näitena inimeste poolt, kes pakkusid 300 euro eest müüa vale-koroonatõendeid.

Laias laastus on kolm võimalust võltsitud tõendite loomiseks. Kas on vaktsineerimise ja tõendite loomise protsess üles ehitatud nii, et mõnel inimesel ahelast on võimalik suurema kärata mõni lisatõend luua; on paljude proovimiste teel (brute force) leitud töötav tõend; või siis on keegi saanud ligipääsu tõendite genereerimiseks kasutatud võtmetele.

Krüptograafiaekspert ja Cybernetica AS-i infoturbeinstituudi direktor Dan Bogdanov ütleb, et kõige tõenäolisem on just esimene viis. Teist kahte peab ta oluliselt vähemtõenäoliseks.

Kui Eestis on vaktsineerimise protsess e-riigile kohaselt pidevalt andmebaasidega seotud ja selle tõttu ka jälgitav ning kontrollitav, ei ole see nii ülejäänud Euroopas. Kui kuskil teeb vaktsiine perearst, kandes vaktsineeritute nimed sisuliselt vihikusse, siis võivad vead ja võltsimisvõimalused lihtsamalt tekkida.

Prantsusmaa riiklik meediakanal France24 on korduvalt rääkinud koroonasertifikaatide mustast turust, mis tekkis peale president Emmanuel Macroni otsust piirata meelelahutusele ligipääsu vaid koroonatõendi esitamisel.

Bogdanovi sõnul ongi kõige tõenäolisem, et kuskil on keegi kuskil mõne valetõendi loonud. "Selleks ei pea tohutu krüptograafiline õnnetus juhtuma või mingi tohutu taristu häving, et niimoodi saaks ja need võltstõendid tekiks. Need võivad olla kellegi rumalad naljad lihtsalt," ütles Bogdanov.

Tõendi ilma privaatvõtmeta, paljude proovimiste teel loomise Bogdanov välistab. "Brute force'ida tänapäeval ei ole jõukohane. Süsteemid peaksid nii palju mõistlikud olema, et ma ei näe, et see kuidagi tehtav on," rääkis Bogdanov. "Muud stsenaariumid on nii palju tõenäolisemad."

Võtme lekke kohta ütleb ta, et seda ei saa välistada. Foorumis, kus tõendeid müügiks pakutakse, viidatakse just võtmelekkele Poolas kui ühele valetõendite loomise allikale, kuid võtmelekke vastu räägib, et neid tõendeid ei ole juurde tehtud. Võimalike ostjate küsimuste peale müüja uusi tõendeid ei ole loonud.

Eestis koroonatõendite kontrollirakendust haldav Tervise ja Heaolu Infosüsteemide Keskus ehk TEHIK ütles, et ollakse võimalikest valetõenditest teadlik. Teisipäeva lõunal kahtlustas ka TEHIK, et vähemalt ühe valetõendi puhul võiks olla tegemist Poola privaatvõtmega genereerituga.

Seega, kui mõned privaatvõtmed on lekkinud, võib see suurem mure olla.

Siiski ei pea ka TEHIK privaatvõtmete leket tõenäoliseks. "Hetkel, meile teadaoleva info põhjal leket ei ole toimunud ja süsteemil tervikuna toimib," ütles TEHIK-u e-teenuste arendamise osakonna juht Tanel Tera.

Aga TEHIK ei oska ka öelda, kuidas süsteemis verifitseeruvad tõendid genereeriti. "Meil ei ole antud juhtumi osas teistelt riikidelt täiendavat infot, mil viisil taolisi võltsinguid on loodud ja kasutatud," rääkis Tera.

Olukorra lahendab Bogdanovi hinnangul siiski üleeuroopalise tõendite tühistamise süsteemi loomine. Sellist üleüldist võimalust praegu ei ole, kuid see on töös. Ka näiteks üleval toodud Adolf Hitleri nime kandvad sertifikaatidest üks on väidetavalt Itaalia kontrollilahenduses juba tühistatud ja ei näita enam, et tegemist oleks kehtiva tõendiga. Kuigi Eesti omas veel näitab.

"EL tehniline töörühm on välja töötanud algoritmid, kuidas tühistatavate tõendite identifikaatoreid jagada ning püüab sellele saada Euroopa andmekaitsenõukogult (European Data Protection Board) kinnitust," märkis Tera.

"Praegu saab vajadusel eri riikide tõendid terviksüsteemist välja lülitada lähtuvalt selle riigi tõendi väljastajate kaupa. Kogu süsteem jääb endiselt ka siis tervikuna toimima," lisas ta.

Lisaks on vaktsineerimistõenditel ka kehtivusaeg, mis praegu on aasta. Kui inimesel on ka õnnestunud endale töötav sertifikaat osta, kaotab see aasta pärast kehtivuse.

Samuti on internetis anonüümsetele inimestele ükskõik mille eest raha kandmine pigem tee oma rahast lahti saada ilma pakutud teenust või kaupa saamata. Ehk siis oht sellisel kujul petta saada on väga kõrge ja illegaalseid asju ostes tarbijakaitsesse või kohtusse pöörduda ei ole mõtet.

Viimaks: ka võltsitud koroonatõendi kasutamine on kriminaalkorras karistatav, Eesti karistusseadustiku kohaselt kuni kolmeaastase vangistusega.

Toimetaja: Huko Aaspõllu

Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: