Verkossa leviää Hitlerin koronapassi – voiko viattomalta vaikuttava pila olla tietoturvariski? Näin vastaa asiantuntija

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen asiantuntijan mukaan hassunnimisiin koronapasseihin ei liity tietoturvariskiä.

EU:n koronatodistus näkyy suomalaisilla Omakanta-palvelussa. Kuvituskuva. Kuva: Timo Jaakonaho / Lehtikuva

Verkossa kiersi torstaina qr-koodi, jonka avatessa Koronatodistuksen lukijasovellus -applikaatiolla näytölle pomppasi ilmoitus: Saksan edesmennyt johtaja Adolf Hitler on saanut kaksi annosta Pfizer-rokotetta.

Pilalta vaikuttava koodi oli torstaina luettavissa ainakin ranskalaisilla, italialaisilla ja puolalaisilla ja suomalaisilla lukijasovelluksilla.

Verkossa on myös esimerkiksipiirroshahmojen Mikki Hiiren ja Paavo Pesusienen koronatodistukset.

Voiko hauska pila olla vakava tietoturvariski?

Jos EU-maiden koronapassien salaiset allekirjoitusavaimet ovat vuotaneet ulkopuolisille, voi se mahdollistaa rokotepassien laajamittaisen tehtailun.

Saattaa kuulostaa hurjalta, mutta Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen asiantuntija Taneli Kaivola tyynnyttelee.

– Mitään isoa tietoturvauhkaa tämä ei edusta.

Kaivolan mukaan netin keskustelupalstoilla on esiintynyt muutamia tekaistuja koronarokotustodistuksia. Se ei kuitenkaan tarkoita, että allekirjoitusavaimet olisivat päätyneet ulkopuolisille.

– Tällä hetkellä ei ole minkäänlaista erityistä todistetta siitä, että allekirjoitusavaimet olisivat vuotaneet.

Suomessa koronapassi ladataan Omakanta-palvelusta, mutta EU-maissa on hyvin erilaisia käytäntöjä koronapassin saamiseksi. Tämä mahdollistaa myös koronapassien tehtailun erikoisilla nimillä.

– Julkisuudessa esiintyneiden tietojen mukaan on voitu esimerkiksi saada koronatodistus väärennetyllä lääkärintodistuksella ja tai muutoin väärinkäyttää koronapassin myöntämiseen käytettävää järjestelmää.

Kaivola huomauttaa, että tiedossa on vain kourallinen tekaistuja nimiä, kun taas aitoja koronapasseja on miljoonia.

– Ilmiö ei ole lopulta kovin suuri, hän sanoo.

Terveyden- ja hyvinvoinninlaitoksen tiedonhallintajohtaja Aleksi Yrttiaho kertoi torstai-iltana Ilta-Sanomille (siirryt toiseen palveluun), että EU:n ja EU-maiden viranomaisten yhteistyöllä on selvitetty, että todistuksia ovat luoneet henkilöt, joilla on muutoin oikeus luoda aitoja todistuksia.

Koronapasseja myynnissä verkossa

Hitler-tapaus osoittaa, että ainakin suomalainen Koronatodistuksen lukijasovellus -applikaatio osaa lukea myös tekaistut qr-koodit.

Tämä voi olla otollinen alusta rikolliselle toiminnalle. Suomen viranomainen voi kuitenkin tarvittaessa perua allekirjoituksia, jotka suomalainen sovellus hyväksyy.

Kaivola kertoo, että viime aikoina verkossa on ollut jonkin verran koronapasseja myynnissä.

Verkossa myytävien koronapassien aitoutta ei ole kuitenkaan voitu todentaa.

– Missään nimeensä tällaista ei kannata lähteä ottamaan. Lailliselta kannalta se on hyvin ongelmallista ja koronapassia ei välttämättä saa, vaikka rikolliselle maksaisi.

Sen sijaan Kaivolan mukaan Omakanta-palvelusta ladattavan qr-koodin ja
suomalaisen koronapassin lukijasovelluksen käyttäminen on turvallista.

Kaivola ei kuitenkaan suosittele oman qr-koodin jakamista esimerkiksi sosiaalisessa mediassa.

Asiasta uutisoi ensimmäisenä Ilta-Sanomat.

Lue myös: