Green Pass rubati, gratis sul web ed eMule: che sta succedendo - Cyber Security 360

l'analisi

Green Pass rubati, gratis sul web ed eMule: che sta succedendo

Pacchetti di green pass italiani sono scaricabili gratis non solo da un sito ma anche da eMule. Alcuni cominciano a usarli per entrare illecitamente nei locali dove è richiesto un pass. Così è partita anche una indagine del Garante Privacy. Ecco la nostra analisi della situazione e delle cause

3 giorni fa
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Proviamo a fare chiarezza su cosa stia succedendo ai nostri green pass: un certo numero di certificati online è risultato disponibile online in pacchetti, scaricabili facilmente e gratis (mentre prima si trovavano solo pacchetti su dark web, come abbiamo riportato). Se ne stanno facendo usi illeciti da parte di chi il pass non ce l’ha, come segnalato oggi dal Garante Privacy, che ha appena aperto un’indagine.

Circa 1500 sembra il numero minimo di green pass disponibili secondo alcune fonti pubblicate sui media ma ho visto che molti sono duplicati quindi non sono stato in grado di appurare se effettivamente sono solo 500, 1000 o in effetti 1500.

Aggiornamento: individuati mille green pass rubati dagli inquirenti.

Da un’analisi, che ho effettuato, per inSicurezzaDigitale del 7 novembre appena passato, ho scoperto che una nota piattaforma di file sharing (dai più considerata obsoleta), viene tutt’oggi utilizzata. Sì esatto, si tratta proprio di eMule.

Il programma di condivisione di file, decisamente molto in voga nei primi anni 2000. Ma oggi siamo nel 2021? Si, però a quanto pare, questo programma non l’hanno dimenticato tutti, cosa ci si può trovare?

Tra i file condivisi dagli utenti di Internet, ho appurato la presenza di numerosi certificazioni Green Pass, autentiche e praticamente tutte valide.

Green pass italiani scaricabili, che succede

Ragionando su questa scoperta, siamo arrivati alla conclusione che si possa trattare di due incidenti differenti. Il primo caso comprende una platea di utenti, ancora oggi affezionati al simpatico programma del Muletto, che hanno questo software in uso (evidentemente anche in background) sul proprio computer (casa, lavoro…), condividendo inoltre, tra le impostazioni, la tipica cartella di Windows denominata “Downloads”.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Questo scenario lascia significare che tutto il contenuto che un utente deposita (o che lascia depositato) nella cartella “Downloads” (che invece ricordo, nasce come directory di passaggio tra ciò che scarichiamo dalla Rete, con i browser di navigazione, e il “Cestino”, oppure in caso di file di interesse le altre cartelle personali “Documenti”, “Immagini” etc…), viene automaticamente, grazie all’impostazione data al programma, condivisa sulla rete privata di eMule, mettendone così il contenuto a disposizione di qualsiasi altro utente di questa stessa rete.

Dall’analisi infatti, cercando sul software di condivisione, la stringa “dgc” tra i file di tipo PDF, otteniamo un certo numero interessante di evidenti certificazioni verdi complete. Ovvero il PDF che il sito governativo italiano di gestione del Green Pass (accessibile con SPID o AUTH-CODE e tessera sanitaria nazionale) ci permette di scaricare personalmente ai fini della conservazione propria e sicura di questo certificato obbligatorio per l’accesso a determinate tipologie di attività sociali.

Cos’altro si trova su eMule

Questo è il primo scenario, ma la ricerca non si è fermata qui, e nello stesso momento, abbiamo verificato che sono presenti anche, oltre ai file PDF degli ignari cittadini che lo hanno scaricato dal sito del Governo e automaticamente (senza pensarci) condiviso al mondo di eMule, archivi .zip e .rar che fanno pensare a qualcosa di meno ignaro. Infatti, non si può trattare di un file che sia finito per sbaglio nella cartella Downloads, ma in questo caso, si nota proprio il dolo di aver voluto collezionare e condividere appositamente, grandi quantità di Green Pass validi e quindi perfettamente funzionanti (magari giocando proprio sull’ipotesi di utilizzarlo senza un documento accompagnatorio, finché ci si riesce, sfuggendo ai controlli).

Si tratta di archivi che nel complesso comprendono circa un migliaio di certificati validi, scoperti tramite un canale Telegram che li ha inizialmente condivisi, che sono stati segnalati e che sembra, ci stia lavorando il team di VerificaC19 per l’integrazione della blacklist messa in funziona con il recente aggiornamento dell’applicazione. Inoltre doveroso segnalare che oggi è apparso anche il comunicato del Garante per la Protezione dei Dati Personali, che ha aperto un’indagine in merito all’accaduto. Da ieri sera infatti la stampa accreditata ha iniziato a parlare dell’argomento, probabilmente tracciando vari percorsi tra i post rilanciati in questi giorni sui Social, con esplosione della notizia nella mattinata di oggi (sabato 20 novembre).

Come è stato possibile

Questi archivi possono avere varie origini, oltre quella del ritrovamento su Telegram, infatti non tutti i PDF presenti su eMule sono duplicati di quelli originali, ci sono anche altre aggiunte, probabilmente da persone che li hanno trovati su eMule stesso e collezionati all’interno di archivi dedicati ad hoc.

In ultima analisi, ma solo per precisare tutti gli scenari possibili di questo grande leak, in quanto non ci sono prove al riguardo, i file archivio possono essere rinvenuti e collezionati da personale dedicato per lavoro alla gestione di grandi numeri di certificazioni verdi.

A quanto risulta, l’ipotesi più forte a cui si lavora è che un intermediario, medico o farmacista, abbiamo pubblicato i dati, per motivi ignoti (forse perché no vax).

Si pensi a grosse aziende, farmacie e medici che hanno accesso alla piattaforma per i propri pazienti etc. Ci tengo a precisare che quest’ultimo è solamente uno scenario possibile, che al momento non è supportato da prove, è una cosa che può capitare con l’utilizzo improprio di programmi di file sharing come eMule, ma non è accertato che sia davvero successo in questi termini.

I green pass su un sito web

Difficile dire se questo secondo leak ritrovato sia collegato in qualche maniera con il precedente o con tutti quelli in passato ritrovati (sui forum e su Telegram), però, grazie all’analisi di Claudio Sono, è stato ritrovato un sito web (perfettamente accessibile online, non su DarkWeb sotto rete Tor), quindi potenzialmente anche indicizzabile su motori di ricerca, ospitato da servizio cloud di Amazon AWS, che offre un grande magazzino di Green Pass, con tanto di motore di ricerca integrato sotto JavaScript, che effettua ricerche in perfetto stile HTML5, tramite nome, cognome o solo data di nascita, di modo che chiunque possa scaricare illecitamente una certificazione più adeguata al caso specifico.

Si tratta di un altro grande abuso del nostro sistema di certificazione e di conseguenza del nostro sistema sanitario nazionale. Un utilizzo completamente illecito che invalida l’utilità di chi invece rispetta le norme e crea grandi problemi per i dati personali di tutti i cittadini coinvolti. Cosa per la quale, appunto, sta indagando anche il nostro GPDP.

Sempre in questo sito scoperto ieri, si trova una curiosa funzionalità: per incrementare l’immagazzinamento di questo materiale illecito, i creatori hanno inserito un link di condivisione, invitando chiunque fosse interessato a contribuire a questa operazione, a fare upload del proprio certificato PDF, in un cloud offerto dal servizio Mega, dedicato proprio all’operazione. Questa cartella cloud, utilizzata dai creatori del sito per ricevere leaks di certificati è stata denominata “Mario Draghi”.

Nulla di buono quindi dal punto di vista normativo e della privacy di ciascuno di noi, che infatti non farà altro che seguire gli sviluppi dell’indagine di GPDP, solo seguendoci potrete di sicuro averne pronta evidenza.

Doveroso anche fare una breve riflessione sull’utilizzo di software di file sharing: eMule è un progetto molto abbandonato dal punto di vista dello sviluppo (io a scanso di equivoci, l’ho installato per questi test su una VM dedicata) della versione ufficiale stabile. Quella che si scarica dal sito ufficiale, per intenderci è del 2010. C’è un aggiornamento del 2020 ma è solamente sulla beta in via di sviluppo e non disponibile se non sulla community (forum) preposta.

Detto questo, in ogni caso, condividere una cartella del proprio computer, che non è una cartella sotto controllo dal punto di vista del contenuto (a quanto pare, si lasciano molte cose importanti nella cartella Downloads), con programmi di file sharing, non è mai una buona abitudine, e non lo è soprattutto se teniamo a nostri dati.

La revoca dei certificati

Intanto le indagini proseguono per trovare la causa del problema. A quanto risulta, il Garante ha chiesto al ministero della Salute la revoca dei mille green pass. Revoca che è ora in corsa. 

Gli utenti dal furto interessati riceveranno un altro green pass.

Articolo originale uscito il 20 novembre, aggiornato successivamente

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5