A chave privada de encriptação usada pelas autoridades europeias para autenticar os certificados digitais de vacinação contra a Covid-19 na União Europeia caiu nas mãos erradas e está a ser usada por hackers para venderem certificados para qualquer pessoa. Numa prova de conceito, para evidenciar que tinham mesmo esta capacidade, os piratas geraram certificados para Adolf Hitler, para o rato Mickey e para o SpongeBob. Segundo a Bleeping Computer, estes certificados falsos apareciam como validados. Os hackers pedem 300 dólares para cada certificado falseado.
Esta encriptação é aplicada nos certificados digitais verificados nos países da União Europeia para atestar, por exemplo, que os viajantes e frequentadores de espetáculos estão vacinados. A emissão do certificado está a cargo de agências de saúde, centros de testagem e muitas outras entidades, pelo que ainda não é claro onde está a fuga que fez chegar a chave aos hackers.
A Comissão Europeia informa que o passe digital tem um código QR com uma assinatura digital que pretende evitar falsificações. Confrontada com esta situação, fonte da Comissão reforça que os certificados foram criados por “pessoas com credenciais válidas para acesso aos sistemas de TI nacionais ou por pessoas a fazer mau uso destas credenciais”, sublinhando que o episódio é causado por “atividades ilegais” e não por falha técnica.
O impacto desta situação pode ser expressivo, permitindo que pessoas não vacinadas circulem livremente e colocando em risco a saúde nas comunidades locais. Em situações limite, a fuga pode mesmo levar os governos a perder a confiança na legitimidade de todo o mecanismo.