تقلب برای چه؟ تاییدیه تزریق واکسن کرونا در وب تاریک ۱۰۰ دلار فروخته می‌شود و مشکل امنیتی یک اپلیکیشن صدور تاییدیه واکسیناسیون باعث جعل گسترده کد QR تزریق شده

مقامات نیویورک می‌گویند مشکل Excelsior Pass Wallet را برطرف کردند. این برنامه کیف پول به کاربران اجازه می‌دهد اعتبارنامه واکسن کووید-۱۹ را دریافت و روی گوشی خود ذخیره کنند تا بتوانند از آن برای اجازه حضور در مکان‌های عمومی مختلف استفاده کنند.

نخست، محققان NCC Group متوجه یک باگ امنیتی و آسیب‌پذیری مهم و بزرگ در آن شدند که به کاربران می‌داد اعتبارنامه جعلی واکسن کووید-۱۹ در NYS Excelsior Pass Wallet ایجاد و بعد آن را دریافت و ذخیره کنند تا اجازه دسترسی و استفاده از مکان‌های عمومی مانند حضور در مراسم‌ها و رویدادها را داشته باشند. این افراد بدون زدن واکسن می‌توانستند اعتبارنامه دریافت واکسن داشته باشند.

محققان دریافتند که این برنامه اصلا اعتبار اطلاعات داده شده توسط کاربران را چک نمی‌کرده و اطلاعات را همه قت موثق در نظر می‌گرفته.

محققان نیویورکی در روز ۳۰ آوریل از این موضوع مطلع شدند آنها برای ماه‌های متمادی پیام‌های هشدار محققان NCC Group را نادیده گرفته بودند و تنها در زمانی که این محققان در ماه جولای با مرکز فرماندهی سایبری NYS ITS Cyber تماس گرفتند؛ از سوی دولت درباره این مشکل درخواست‌هایی دریافت کردند.

وصله امنیتی که می‌تواند این مشکل را حل کند؛ روز ۲۰ آگوست منتشر شده است. هنوز مقامات نیویورکی درباره این مشکل با رسانه‌ها صحبت نکردند و هیچ اظهارنظری نداشتند.

اخیرا، محققان NCC Group تعداد زیادی از اپلیکیشن‌ها را بررسی کردند تا میزان اعتماد کاربران به آن‌ها یا شرایط امنیتی استفاده از آن‌ها را ارزیابی کنند و متوجه شوند وضعیت حریم خصوصی کاربران در چنین سیستم‌هایی چقدر است و چگونه می‌توان آن را تحت تاثیر قرار داد.

آن‌ها ابتدا از اپلیکیشن NYS Excelsior Pass شروع می‌کنند؛ چون یکی از اولین اپ‌هایی است که در سراسر ایالات متحده برای صدور اعتبارنامه‌های واکسن استفاده می‌شود.

آن‌ها با استفاده از کاربران و محققانی که در نیویورک داشتند؛ سعی کردند امنیت و حریم خصوصی این سیستم را بررسی کنند. این تحقیق باعث شد که متوجه شوند کاربر به سادگی می‌تواند اطلاعات جعلی به سیستم بدهد و برای خودش یک اعتبارنامه دریافت واکسن صادر و بعد روی گوشی خود ذخیره کند.

محققان NCC Group با مهندسی معکوس اسمارت‌فون‌ها و رهگیری ترافیک شبکه و کشف مشکلات احتمالی اپلیکیشن NYS Excelsior Pass مانند نشت اطلاعات، رمزنگاری ضعیف و سایر مسایل امنیتی رایج در این برنامه‌ها موفق شدند آسیب‌پذیری اخیر را کشف کنند.

این برنامه به کاربران اجازه می‌دهد تا یک کیو آر کد (QR code) در گالری عکس‌ها را برای افزودن اعتبار به کیف پول اسکن کنند.

افزایش تقاضاها برای کارت واکسن جعلی

بسیاری از مراکز عمومی از اپلیکیشن‌های اسکنر عمومی استفاده نمی‌کنند یا نتایج را نادیده گرفته و به داده‌های به ظاهر مشروع در دستگاه کاربران  اعتماد می‌کنند و در نتیجه اجازه ورود افرادی را می‌دهند که واکسن کووید-۱۹ دریافت نکردند.

نسخه فعلی اپلیکیشن NYS Excelsior Wallet موجود در فروشگاه‌ها دارای این آسیب‌پذیری نیست اما کاربرانی که ممکن است آخرین نسخه را دریافت نکرده باشند؛ هنوز بتوانند اعتبارنامه واکسن جعلی آپلود کنند.

براساس گزارش‌های منتشر شده، میلیون‌ها نفر در ایالات متحده دنبال دستیابی به کارت واکسن جعلی یا تاییدیه‌های دیجیتالی آن بودند تا وانمود کنند یکی از افرادی هستند که واکسن رایگان کووید-۱۹ را دریافت کردند.

گزارش ماه اوت موسسه Check Point Research نشان می‌دهد انواع تاییدیه‌های واکسن کووید-۱۹ با قیمت‌های بسیار پایینی در وب تاریک به فروش می‌رسد اعتبارنامه‌های دیجیتالی کارت واکسن EU Digital COVID و CDC و NHS COVID تا ۱۰۰ دلار هم در وب تاریک خرید و فروش می‌شود. هزینه خرید این کارت واکسن‌ها در ماه مارس حدود ۲۵۰ دلار بود.

این اعتبارنامه‌ها به کاربران بسیاری از کشورها از جمله ایالات متحده، بریتانیا، آلمان، یونان، هلند، ایتالیا، فرانسه، سوئیس، پاکستان و اندونزی فروخته شده‌اند.

در حالی تقاضا برای کارت واکسن و اعتبارنامه‌های دیجیتالی تاییدیه واکسن افزایش پیدا کرده است که در سراسر دنیا هزاران شرکت مشتریان خود را وادار می‌کنند پیش از ورود به دفتر یا مکان‌های مشخص، اسناد واکسیناسیون کووید-۱۹ خود را نشان بدهند.