Con l’avvento dell’estate, per agevolare i viaggi e le vacanze, è stato creato il green-pass, ovvero quella certificazione che attesta l’avvenuta vaccinazione, la guarigione o la negatività a un test per il Covid-19.
In questo articolo esploreremo cosa è il green pass e un QR Code, ma soprattutto i dati presenti all’interno di questo codice, viste le tante notizie in giro che riportano problematiche di privacy online.
Si tratta di un QR code, ovvero un codice che qualora acquisito, consentirà si spostarsi in auto (ma non solo) tra regioni o in zone arancioni o rosse senza restrizioni e senza doversi portare dietro l’ormai onnipresente autocertificazione che certifichi che lo spostamento avviene per motivi di lavoro, salute o emergenza.
La certificazione è compilata dalla struttura sanitaria presso cui è stato effettuato il vaccino e andrà ad aggiungersi alla scheda sanitaria elettronica dell’interessato. Viene però rilasciato soltanto dopo la seconda dose, ossia il richiamo, oppure dopo la prima nel caso del vaccino di Johnson&Johnson e ha una validità di 6 mesi.
Infine, il ministro della Sanità italiano Roberto Speranza ha annunciato in un post su Facebook che l’Italia consentirà l’ingresso da Stati Uniti, Canada e Giappone alle stesse condizioni del programma “green verde” dell’UE a partire dal 21 giugno.
L’uso è semplice, all’inizio di un evento o quando viene richiesto dalle istituzioni, occorrerà presentarlo, in modo da avere appunto il “pass” per l’ingresso che certifica che la persona è in uno stato corretto di salute. Ovviamente verrà verificato che i dati della persona (nome, cognome e data di nascita), corrispondano a quanto contenuto nel gree-pass.
Si tratta di un codice a barre a matrice bidimensionale (o codice 2D), composto da moduli neri disposti all’interno di uno schema bianco di forma quadrata, impiegato in genere per memorizzare informazioni destinate per essere lette tramite uno scanner oppure uno smartphone.
Il codice QR fu sviluppato nel 1994 dalla compagnia giapponese Denso Wave, per tracciare i pezzi delle automobili nelle fabbriche di Toyota. Vista la sua capacità di codificare molti dati, più di un semplice codice a barre, fu in seguito utilizzato da diverse industrie per la gestione delle scorte.
Pensate che in un solo crittogramma possono essere contenuti fino a 7.089 caratteri numerici o 4.296 alfanumerici, quindi una quantità impressionante di dati. Genericamente il formato matriciale più usato è di 29×29, ma il crittogramma può essere ampliato per contenere un numero maggiore di informazioni, come nel caso del green-pass.
Le specifiche per chi vuole comprendere al meglio il funzionamento, sono riportate nel file PDF rilasciato da eHealt Network in data 21/04/2021.
Possiamo utilizzare molte risorse open source per analizzare il green-pass, qualora lo leggiamo tramite la libreria zbar, quello che ci viene restituito è una stringa codificata in Base64, come da specifica.
Trasformato e portato in testo normale, atterriamo su dei dati codificati in CBOR Object Signing and Encryption e dopo una serie di trasformazioni, ecco il classico formato JSON che trasformato sulla base del documento dell’unione europea, ci porta ai dati contenuti nel Green pass che vediamo di seguito.
QR Code Issuer : ITQR Code Expiry : 2023-05-12 00:00:00QR Code Generated : 2021-06-22 23:32:43 Vaccination Group Dose Number : 1 Marketing Authorization Holder : ORG-100030215 vaccine or prophylaxis : 1119349007 ISO8601 complete date: Date of Vaccination : 2021-06-03 Country of Vaccination : IT Unique Certificate Identifier: UVCI : 01IT037281FD58AE4FC79CF2508B8196A1C7#2 vaccine medicinal product : EU/1/20/1528 Certificate Issuer : Ministero della Salute Total Series of Doses : 2 disease or agent targeted : 840539006 Surname(s), forename(s) Standardised surname : PEZZALI Surname : PEZZALI Standardised forename : ROBERTO Forename : ROBERTO Schema version : 1.0.0 Date of birth : 1978-07-25
In effetti dentro il green-pass non ci sono dati particolarmente sensibili. C’è si il nome, il cognome e la data di nascita. C’è il numero delle dosi fatte, la tipologia del vaccino somministrato, informazioni di validità e null’altro.
Molte notizie su diverse riviste online riportano che è una pessima idea pubblicare il green pass sui social e questo e questa è una cosa assolutamente condivisibile.
Ma dobbiamo anche dire che il green pass è stato progettato per contenere il minimo numero di informazioni personali per identificare una persona come il nome, il cognome e la data di nascita.
Quindi va bene essere consapevoli dei rischi, ma occorre anche fornire la giusta chiave di lettura agli utenti che non conoscono il punto di vista tecnico, senza generare terrorismi inutili.
Nome e cognome e numero di telefono di moltissimi degli italiani (ma aggiungerei anche email, indirizzo), sono online su internet da diverso tempo, frutto di attività di scraping sui social network con collection presenti di milioni di italiani, non ultima la fuga dei 533 milioni di utenti facebook di qualche mese fa ancora disponibile su Telegram e nelle darknet e anche nel clear web, dove sono presenti questi dati di 35 milioni di italiani.
https://github.com/ministero-salute
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Diritti
Cyber News
Cyberpolitica
Cultura