Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il motore di ricerca dei green-pass italiani è online. Si chiama Shindler’s List 2.0.

Redazione RHC : 22 Novembre 2021 09:04

Autore: Michele Pinassi

Data Pubblicazione: 22/11/2021

Un nuovo portale web chiamato Shindler’s list 2.0, contenente un pratico sistema di ricerca e visualizzazione dei QRCode relativi all’archivio dei 1000 green pass italiani che sta circolando da oltre 10 giorni, è stato pubblicato in rete. E spunta anche un “kit” per chi volesse cimentarsi nel cracking dei certificati DGC…

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

“La sicurezza è qualcosa che accade tra le tue orecchie, non qualcosa che tieni tra le mani.”

Jeff Cooper

Tralasciando il cattivo gusto di avvicinare i certificati verdi con le tragiche vicende dell’olocausto, è comparso in rete un portale dal titolo “Shindler’s List 2.0“ (l’industriale tedesco a cui probabilmente si sono “ispirati” si chiamava Oskar Schindler, per la cronaca) che pubblica i qrcode dei green pass che sembrano provenire dalla ormai “famosa” collezione di 1003 DGC “italiani” che sta circolando in Rete da qualche giorno e di cui avevo parlato qui.

Qualcuno -e sia il footer che il sorgente della pagina lascerebbe pensare a qualche affiliato di Anonymous– ha costruito un frontend web che visualizza green pass pronti all’uso, con tanto di nome, cognome e data di nascita del proprietario.

Il modulo di ricerca permette di scegliere green pass specifici, ad esempio per nome, cognome o data di nascita (immagino per destare meno sospetti in chi verifica) mentre un link a una cartella condivisa su MEGA.nz invita i visitatori a depositare ulteriori green pass di cui si è in possesso.

Il tutto, giusto per precisarlo, in forma libera e gratuita.

Il sito è ospitato sul network IPFS, un “peer-to-peer hypermedia protocol designed to preserve and grow humanity’s knowledge by making the web upgradeable, resilient, and more open“, probabilmente per renderne difficile sia capirne l’origine che rimuoverlo. Non essendoci inoltre componenti dinamiche, chiunque potrebbe facilmente scaricarlo e attivarlo su altre piattaforme di hosting.

Siamo davanti, probabilmente, a un atto di hacktivismo politico con l’obiettivo di colpire alle fondamenta il sistema di verifica e certificazione di cui i digital green certificates sono lo strumento privilegiato.

Un sistema che, sia per motivi tecnici che normativi, sta mostrando –a mio personalissimo parere– forti limiti e criticità. Secondo il D.P.C.M. 17.06.2021, infatti, l’attività di controllo del green pass (e del documento d’identità) è possibile, attraverso l’app. ufficiale VerificaC19, ai seguenti soggetti:

  • pubblici ufficiali;
  • personale addetto al servizio di controllo delle attività d’intrattenimento e spettacolo in luoghi aperti al pubblico;
  • titolari delle strutture ricettive e dei pubblici esercizi a cui è possibile accedere solo previa esibizione del DGC;
  • proprietari o detentori di luoghi/locali in cui si svolgano eventi o attività a cui è possibile accedere solo previa esibizione del DGC;
  • vettori di mezzi di trasporto aerei, marittimi e terrestri o loro delegati;
  • gestori delle strutture sanitarie;

ma una successiva circolare, del 10 agosto, ha specificato che il controllo del documento di identità era possibile solo in particolari situazioni:

  • al personale addetto al controllo delle attività di intrattenimento e di spettacolo, ma solo “saltariamente“;
  • ai titolari delle strutture ricettive e dei pubblici esercizi solo in caso di “abuso o elusione delle norme”, ovvero in caso di “manifesta incongruenza” dei dati riportati nel green pass rispetto al soggetto che si ha davanti;

(Ricordo che in caso di palese falso, l’esercente che non controlla il documento d’identità rischia una sanzione da 400 a 1000€ mentre, per l’utente, c’è il reato di falsificazione e truffa)

A questo si aggiunge che per un cliente è molto difficile, se non talvolta impossibile, avere la certezza che l’app che “fotografa” il suo green pass sia quella ufficiale Verifica C19: potrebbe esserne una molto somigliante, ad esempio, ma che memorizza la foto del green pass sullo smartphone per un utilizzo successivo. Non a caso, lo stesso Garante della privacy proprio a inizio Novembre ha avviato una indagine a tal proposito.

Quindi, oltre all’ipotesi che possano esservi state situazioni particolari in cui gli utenti stessi hanno divulgato il proprio certificato (es. inviandolo via posta elettronica a terzi), la possibilità che vi siano state vere e proprie “campagne di raccolta” di green pass da parte di app farlocche è forse l’ipotesi più plausibile davanti a un archivio decisamente sostanzioso, come quello che sta circolando. Tra l’altro, finalmente, anche il Garante della Privacy ha confermato di aver avviato una indagine in merito e di aver “dato mandato al Nucleo Speciale Tutela Privacy e Frodi tecnologiche della Guardia di Finanza di acquisire gli archivi on line e accertarne la provenienza“.

Tuttavia, a ora, non si ha notizia che questi certificati siano stati inseriti nella blacklist dell’app. VerificaC19, mantenendoli quindi validi e utilizzabili (come qualche giornalista ha dimostrato in questi giorni).Z

Per finire, è stata recentemente pubblicata su un portale di file sharing russo una collezione di sorgenti di alcune app di verifica DGC e documentazione relativa al funzionamento dei certificati verdi, con il dichiarato obiettivo di “rompere” il sistema.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Play Ransomware sfrutta 0-Day in Windows: attacco silenzioso prima della patch di aprile 2025

Gli autori della minaccia collegati all’operazione ransomware Play hanno sfruttato una vulnerabilità zero-day in Microsoft Windows prima della sua correzione, avvenuta l’8 aprile 20...

Allarme AgID: truffe SPID con siti altamente attendibili mettono in pericolo i cittadini

È stata individuata una campagna di phishing mirata agli utenti SPID dal gruppo del CERT-AgID, che sfrutta indebitamente il nome e il logo della stessa AgID, insieme al dominio recentemente regis...

Nessuna riga di codice! Darcula inonda il mondo con il Phishing rubando 884.000 carte di credito

Nel mondo del cybercrime organizzato, Darcula rappresenta un salto di paradigma. Non stiamo parlando di un semplice kit di phishing o di una botnet mal gestita. Darcula è una piattaforma vera e p...

+358% di attacchi DDoS: l’inferno digitale si è scatenato nel 2024

Cloudflare afferma di aver prevenuto un numero record di attacchi DDoS da record nel 2024. Il numero di incidenti è aumentato del 358% rispetto all’anno precedente e del 198% ris...

25 Milioni di SIM da Sostituire dopo l’Attacco Cyber! Il Disastro di SK Telecom Sconvolge la Corea del Sud

Il gigante delle telecomunicazioni sudcoreano SK Telecom ha sospeso le sottoscrizioni di nuovi abbonati in tutto il paese, concentrandosi sulla sostituzione delle schede SIM di 25 milioni di...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006