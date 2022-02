É possível obter facilmente um certificado de vacinação falso através da internet. O Luxembourg Times, revista inglesa do mesmo grupo do Contacto e Rádio Latina, conseguiu um documento falso que mostrava os detalhes corretos da suposta identidade e funcionava na perfeição com a aplicação CovidCheck.

Covid-19

Precisa de um certificado Covid falso? Basta perder algumas horas na 'net'

Redação É possível obter facilmente um certificado de vacinação falso através da internet. O Luxembourg Times, revista inglesa do mesmo grupo do Contacto e Rádio Latina, conseguiu um documento falso que mostrava os detalhes corretos da suposta identidade e funcionava na perfeição com a aplicação CovidCheck.

(Redação Luxembourg Times*)

Numa sexta-feira, Dana Milizova, de 29 anos, entra num bar no Luxemburgo. Após uma empregada ter verificado o seu certificado Covid-19, a mulher sentou-se no interior, onde os outros clientes pensavam estar livres de apanhar covid-19. Só que Milizova não tomou qualquer vacina. Tinha acabado de comprar o seu certificado de vacinação falso na internet.

Este seria o cenário se Milizova tivesse realmente existido. Mas na realidade, esta era uma identidade falsa que um repórter do Luxembourg Times assumiu para adquirir um certificado de vacinação falso.

Nos testes [na aplicação CovidCheck] o passe passou sempre como verde em vários dispositivos, onde se podia ver os detalhes pessoais falsificados da suposta Milizova, sem qualquer defeito. O que significa, que com um bilhete de identidade, uma qualquer Milizova poderia ter entrado num bar desta forma. Aceder ao certificado falso também foi muito fácil.

Sem saber muito bem por onde começar, Milizova entrou no Telegram, um serviço de mensagens instantâneas que oferece uma forte encriptação dos dados de forma a manter os utilizadores longe do radar das autoridades. Como resultado, o serviço tornou-se "terreno fértil para o crime", segundo a Cloudsek, empresa de cibersegurança.

Numa simples pesquisa, a mulher encontrou vários grupos públicos dedicados a certificados de vacinação ou de resultados de testes negativos adulterados. Os grupos – vulgarmente designados de 'canais' – eram geridos por pessoas que podiam ou não ser vigaristas. Mas um saltava à vista, com mais de 50.000 membros. Qualquer utilizador poderia aceder a este canal, mas só o administrador podia lá escrever, já que tinha alterado as definições do canal. Os utilizadores que quisessem contactá-lo teriam de o fazer através de um canal privado.

E assim, Milizova iniciou a conversa com o responsável começando por dizer que estava à procura de um certificado de vacinação. "Olá. Gostaria de comprar um passe sanitário para o Luxemburgo", disse. O vendedor – com um nome que o Luxembourg Times optou por não divulgar – respondeu dizendo que a mulher teria de pagar 300 euros, em bitcoins [moeda digital], ou através do Neosurf, serviço de pagamentos online.

Outros canais do Telegram ofereciam certificados falsificados, sempre pelo mesmo preço de 300 euros. O facto de haver muita oferta é um sinal de que existe uma procura abundante de pessoas que, por qualquer razão, não querem ser vacinadas. Milizova, assumidamente anti-vacinas, encontrou a sua pechincha. Enviou ao fornecedor o nome e a data de nascimento, e referiu ainda que preferia um passe onde mostrasse que tinha recebido duas doses de uma vacina contra a covid-19.

Sem pagamento adiantado, o fornecedor enviou-lhe um certificado covid-19 para que a mulher pudesse testar se funcionava realmente. Funcionou. O documento listava corretamente todos os dados pessoais de Milizova, o que poderia permiti-la aceder a qualquer bar ou local público. O Luxembourg Times não chegou a pagar pelo passe falsificado.

CovidCheck falso pode dar multa até 1.000 euros Os trabalhadores que decidam apresentar um CovidCheck falsificado ou de outra pessoa podem incorrer numa coima pesada. Para as empresas a multa por não respeito da nova lei é de 4.000 euros.

Há já algum tempo em que todos os fins de semana centenas de manifestantes marcham nas ruas da capital luxemburguesa contra as medidas sanitárias para enfrentar a pandemia, que consideram cada vez mais intrusivas. No total, o Luxemburgo já administrou cerca de 1.2 milhões de doses de vacinas aos seus 630.000 habitantes. Embora tal signifique que cerca de 75% da população com mais de cinco anos se encontra completamente vacinada, resta um em cada quatro que não o estão.

Segundo noticiaram os media em novembro passado, um gestor no Ministério da Saúde foi suspenso após ter tentado obter um certificado falso de teste negativo de um colega. E mais recentemente, o Ministério Público condenou um estudante da academia de polícia a 15 meses de prisão por ter acedido às aulas durante vários dias com o passe sanitário de um amigo.

O certificado de vacinação da suposta Dana Milizova e a validação pela aplicação CovidCheck. Os códigos QR foram riscados pela redação do Luxembourg Times. Foto: Luxembourg Times

Estes são apenas alguns exemplos de como os certificados Covid falsos são utilizados no Luxemburgo, mas não é claro o quão generalizado é o problema. Embora confirme que tenha analisado estes casos, o Ministério Público não divulgou mais pormenores. "O Ministério Público está ciente de tais casos de falsificação e de uso de documentos falsificados", disse uma porta-voz da administração judicial.

Como é que conseguem?

Há várias maneiras de os fornecedores obterem estes passes, referiu um investigador e especialista em criptografia. É pouco provável que tenham tido acesso ao sistema que gera os códigos QR em si, mas provavelmente conseguiram aceder ao software de outras instituições de saúde que solicitam os códigos.

"É improvável que a criptografia por detrás dos certificados Covid tenha sido quebrada, uma vez que [as] chaves privadas [que o Governo usa] para fazer os códigos QR válidos são muito provavelmente armazenadas em máquinas especiais [conhecidas como Módulos de Segurança Hardware, ou HSM, na sigla inglesa] e muito difíceis de extrair", referiu a fonte que pediu para não ser identificada.

Mas os laboratórios, farmácias ou centros de vacinação todos usam software mais vulnerável para fazer a gestão dos códigos QR e que poderão ter sido infetados antes da pandemia. "Estes pontos de entrada aumentam enormemente a superfície de ataque disponível para os atores maliciosos", disse a fonte. "Dá a impressão de que os emissores de certificados utilizam um interface web de código aberto (ou seja, como um site normal a que se ligam) para fazer interface com o HSM do Governo e solicitar validações de certificados".

"Dado que estes sites simples não são geridos necessariamente de uma forma centralizada pelos governos, alguns deles foram encontrados expostos publicamente e qualquer pessoa poderia tê-los encontrado e tê-los utilizado para criar novos certificados".

Outra explicação seria simplesmente conseguir que o pessoal cúmplice de uma instituição de saúde emitisse um passe falso, acrescentou ainda a mesma fonte.

"É óbvio porque é que estes certificados falsos são perigosos", considerou Claude Muller, especialista em virologia do Instituto de Saúde do Luxemburgo. "Se já não podemos confiar nos certificados, todo o sistema de proteção [contra infeções] quebra", disse por email.

