Green Pass: i rischi per la nostra identità digitale, anche in ambito business - Cyber Security 360

L'ANALISI TECNICA

Green Pass: i rischi per la nostra identità digitale, anche in ambito business

Pubblicare online il Green Pass espone inutilmente i dati sanitari personali con un impatto importante sull’identità digitale dell’individuo: rischi ancor più concreti in ambito business, ora che le aziende fanno massiccio ricorso allo smart working. Ecco perché e come mitigarli

07 Lug 2021
E
Filadelfio Emanuele

Security & Operation Manager presso CybergON di Elmec Informatica

Pubblicare e condividere il Green Pass online espone noi e la nostra identità digitale ad inutili rischi, non solo a livello personale, ma anche in ambito business. Rischi che è bene comprendere per riuscire a mitigarli al meglio.

Cos’è e come funziona il Green Pass

Sono milioni gli italiani che hanno già ottenuto il Green Pass o che, in questi giorni, stanno ricevendo una notifica sull’app IO e Immuni o direttamente via SMS che li avvisa di poterlo scaricare grazie alla propria tessera sanitaria e ad un codice identificativo.

Il Green Pass, lo ricordiamo, è una certificazione per la vaccinazione Covid-19 in formato digitale emessa dal Ministero della Salute e contiene un QR Code per verificarne autenticità e validità. Tutti coloro che hanno effettuato almeno una dose di vaccino possono salvarla sul proprio dispositivo e utilizzarla all’occorrenza.

Dal primo luglio il Green pass sarà valido come EU digital COVID certificate e sarà richiesto per partecipare a eventi pubblici, spostarsi in entrata e uscita dai Paesi dell’Unione europea e dell’area Schengen e per accedere a RSA o altre strutture.

Green Pass: le informazioni nel QR code

La tecnologia QR code è molto utilizzata per la lettura tramite smartphone e non è altro che un codice a barre di due dimensioni composto da sezioni nere e bianche il cui scopo è memorizzare informazioni fino ad un massimo di 7.089 caratteri numerici in una sola volta.

Sui social network diversi utenti hanno condiviso il QR Code legato alle vaccinazioni suscitando un forte allarmismo da parte del Garante della Privacy che in un comunicato ha espresso “la sua preoccupazione per l’esposizione di dati sensibili”.

La scansione del QR code per l’identificazione e il controllo della validità del pass avviene tramite un’applicazione chiamata VerificaC19 che, però, riferisce solo nome, cognome e data di nascita.

L’interessato su richiesta del verificatore, ad esempio un viaggiatore in aeroporto, dovrà esibire il proprio documento di identità per la corrispondenza dei dati anagrafici presenti nel documento con quelli visualizzati dall’applicazione di scansione del codice QR.

Il residuo informativo contenuto nel codice QR rimane visibile solo a chi possiede le competenze informatiche per poterlo recuperare tramite un processo di decompressione e di decodifica.

I dati contenuti all’interno del certificato digitale sono stati specificati dall’UE in un documento tecnico che stabilisce i set delle informazioni riconducibili ad ogni singolo individuo.

Con un’analisi tecnica effettuabile tramite un programma open source, si può risalire ai campi del data set e verificare se esistono nel codice informazioni nascoste o aggiuntive rispetto a quelle ufficialmente dichiarate. Sono riportate le seguenti:

Cognome, Nome

  • Cognome Standardizzato: Rossi
  • Cognome: Rossi
  • Nome standardizzato: Mario
  • Nome: Mario
  • Versione: 1.0.0
  • Data di nascita: 1999-09-12
  • Emittente del QR Code: IT
  • Scadenza del QR Code: 15-06-2023
  • Data di generazione del QR Code: 23-06-2021 alle ore 15:32:13

Gruppo di Vaccinazione

  • Dose numero: 1
  • Marketing Authorization Holder: ORG-100030215
  • Vaccino o profilassi: 1119349007
  • Data di vaccinazione ISO8601: 2021-04-05
  • Paese di vaccinazione: IT
  • Identificativo unico del vaccino: 01ASJFICEAKDKAER9CF2508B81ADFASD2
  • Numero identificativo del vaccino: EU/1/20/1528
  • Emittente del certificato: Ministero della Salute
  • Totale delle dosi: 2
  • Malattia or agent targeted: 23442343

Green Pass: i rischi per la nostra identità digitale

Un’esposizione di dati sanitari personali, che ricordiamo essere la tipologia più rivenduta online, può avere impatto importante sull’identità digitale di un individuo.

A marzo, online nel Dark Web, venivano venduti falsi Green Pass a 250 dollari ciascuno e con un’aggiunta di soli 25 dollari si poteva avere l’esito negativo di tre tamponi antigenici. La pubblicazione dei QR code può, inoltre, aiutare il processo di falsificazione, che viene implementato grazie a diversi “campioni” analizzati e studiati dai criminali.

Il rischio di pubblicare la screenshot del proprio QR code è quello di diffondere informazioni personali che possono essere riutilizzati per frodi e furti d’identità.

I cyber criminali sfruttano ogni novità del mondo reale per poter truffare utenti e guadagnare denaro: come noi, infatti, utilizzano i social nell’attesa che un utente inesperto condivida informazioni sensibili sul suo profilo.

L’impostazione della privacy settata in modo scorretto e l’abitudine di accettare richieste di utenti non conosciuti, amplifica notevolmente il rischio di esposizione.

La digitalizzazione è un processo che deve avvenire parallelamente alla sicurezza informatica secondo il concetto di privacy by design, ma anche l’utente, spesso definito come l’anello debole della catena di sicurezza, deve essere in grado di non esporsi a inconsapevoli violazioni di dati.

È la conferma della necessità di una formazione sia dei dipendenti in azienda che degli utenti dei social media, che devono prima di tutto riflettere sulla leggerezza con cui si condividono informazioni.

Green Pass e condivisione del QR code: ecco perché è un problema di consapevolezza

Green Pass: rischi anche in ambito business

I rischi per l’identità che si corrono condividendo il Green Pass non si fermano alla sola sfera personale: se fino ad alcuni anni fa la divisione tra profilo personale e lavorativo era netto, oggi questo limite non esiste più. Per comprendere al meglio i relativi rischi, andiamo ad approfondire alcune pratiche.

Le aziende promuovono iniziative di BYOD (Bring Your Own device) in cui viene richiesto al dipendente di utilizzare il dispositivo personale anche per fini lavorativi. Un’eventuale compromissione del dispositivo permette a un attaccante di avere accesso a tutti i dati in esso contenuti e alle funzionalità che vengono messe a disposizione:

  • la posta aziendale che viene sempre più utilizzata in mobilità;
  • i file dai repository documentali dell’azienda sono scaricati sul dispositivo per poterli leggere;
  • il secondo fattore di autenticazione per confermare la propria identità per accedere alle applicazioni business (SMS, authenticator, applicazioni di terze parti);
  • cronologia della navigazione e preferenze personali.

Un dispositivo compromesso in uso ad un dipendente, dunque, apre la porta a un cyber criminale per un attacco verso l’azienda. È quindi importante pianificare iniziative continue di awareness verso i dipendenti per sensibilizzare sull’argomento e lavorare sulla diffidenza digitale.

Un esempio di questa settimana è una campagna di phishing che ha colpito diversi utenti, i quali hanno ricevuto un messaggio su WhatsApp contenente un link malevolo che invitava a scaricare il Green Pass COVID-19 con l’interessante “promessa” di non dover più utilizzare la mascherina in tutta Italia. L’utente, in questo caso, viene portato su una pagina fasulla del Ministero della Sanità e, proseguendo con la navigazione, le viene richiesto di inserire i propri dati personali.

Un attaccante, nel caso in cui una campagna malevola come questa avesse successo, avrà la possibilità di sottrarre le credenziali aziendali e lavorare a due livelli:

  1. utilizzare il ruolo del dipendente in azienda per attacchi mirati, ad esempio un CFO può aver accesso a risorse finanziare dell’azienda e fornire indicazioni per un trasferimento di denaro; una risorsa amministrativa può eseguire bonifici verso fornitori esterni, e così via;
  2. sfruttare vulnerabilità note per eseguire escalation di privilegi ed accedere in modo amministrativo all’intera rete aziendale. In questo ambito è salita alla ribalta la vulnerabilità PrintNightmare di Microsoft. L’8 giugno Microsoft ha rilasciato un aggiornamento per correggere questo problema classificandolo come “non grave”. Il 21 Giugno un ricercatore ha però dimostrato come gli aggiornamenti in realtà non coprano la vulnerabilità zero day e che rimane tutt’ora la possibilità di eseguire codice remoto sulla macchina sotto attacco.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5