Green Pass e condivisione del QR code: ecco perché è un problema di consapevolezza - Cyber Security 360

PRIVACY

Green Pass e condivisione del QR code: ecco perché è un problema di consapevolezza

In tanti stanno condividendo il proprio Green Pass sui social, altri si chiedono se ci sia un pericolo per la privacy. In realtà, il certificato non contiene altri dati oltre a quelli dichiarati dalla Commissione UE: l’importante è essere consapevoli della perdita di controllo su ciò che pubblichiamo

24 Giu 2021
F
Pasquale Fiorillo

Senior Security Researcher presso ISGroup

Milioni di italiani stanno ricevendo in questi giorni la “Certificazione verde Covid-19”, detta Green Pass, corrispondente alla versione italiana dell’EU Digital COVID Certificate.

Tra questi c’è chi, con estrema facilità, condivide il proprio Green Pass pubblicamente, soprattutto sui social network e al tempo stesso c’è chi si pone delle domande e si chiede se effettivamente ci sia un pericolo per la privacy nel mostrare in pubblico il proprio certificato.

La risposta a questa domanda è sempre esistita, da prima che fosse rilasciato il primo certificato, e disponibile a tutti sul sito della Commissione Europea: basta leggere la documentazione a riguardo.

Quali dati contiene il Green Pass

Il certificato ci viene consegnato tramite un QR Code contenente i dati relativi alla vaccinazione ricevuta, il nostro nome e cognome, e la nostra data di nascita, informazioni che sono codificate secondo le specifiche tecniche dell’eHealth Network pubblicate dalla Commissione Europea.

Sì, tecnicamente sono dati sanitari, e quindi sensibili (infatti il Garante Privacy ne sconsiglia la pubblicazione), ma non esageriamo. Il rischio non è molto diverso da pubblicare su Facebook: “Oggi ho fatto il vaccino”.

I dati nel QR Code non sono cifrati, non avrebbe alcun senso. La crittografia, in questo caso, serve esclusivamente a firmare digitalmente le informazioni in esso contenute, in modo che non possano essere falsificate o alterate (tecnicamente a garantirne l’integrità e l’autenticità).

Se non riusciamo a leggere il QR Code con una app generica per smartphone è solamente perché i dati sono codificati in una maniera ben precisa, allo scopo di inserire informazioni binarie, quali appunto quelli relativi alla firma digitale.

Come leggere i dati contenuti nel QR Code

La codifica nel formato finale è un’operazione assolutamente reversibile. Seguendo le specifiche tecniche pubblicate dalla Commissione Europea ho implementato un semplice Proof Of Concept, eHealthDecoder, per poter effettuare questa operazione. Il software è rilasciato con licenza open source, liberamente scaricabile e modificabile, e il suo scopo è puramente didattico.

Lo schema “Serialization” presente nel documento delle specifiche della Commissione Europea, contiene tutte le informazioni per implementare il processo inverso. eHealthDecoder non fa altro che seguire tali specifiche.

Condividere online il Green Pass: serve consapevolezza

Il certificato non contiene altri dati oltre a quelli dichiarati dalla Commissione Europea, non c’è quindi alcun rischio a mostrarlo in aeroporto, ad esempio, poiché le compagnie conoscono già il vostro nome, cognome e data di nascita dal momento in cui avete acquistato il biglietto.

Per quanto riguarda la condivisione indiscriminata sui social, dipende dalla nostra sensibilità. Conosciamo i dati che contiene, facciamo le nostre valutazioni.

Dobbiamo essere consapevoli della perdita di controllo su tutto ciò che pubblichiamo, che sia il QR Code del vaccino o la foto di vostro figlio che gioca in spiaggia.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5