Der gik ikke længe fra den nye coronapas-app ramte mobiltelefonen, til nogle forsøgte at slå mønt på den. I lukkede grupper på de sociale medier blev der allerede i dagene efter appens frigivelse tilbudt fungerende QR-koder mod betaling. Det fortæller sikkerhedseksperten Peter Kruse til ITWatch.
Koderne giver adgang til steder, der kræver gyldigt coronapas, såsom restauranter og sportsbegivenheder. Men det er en risikabel affære at benytte et sådant “tilbud”. Et falsk pas anses nemlig for at være dokumentfalsk, fortæller direktør Lisbeth Nielsen fra Sundhedsstyrelsen til mediet. Dokumentfalsk kan straffes med bøde eller fængsel indtil 6 år.
Når det i det hele taget kan lade sig gøre at snyde med det nye coronapas, skyldes det, at QR-koden – i modsætning til eksempelvis Kørekort app’en – hverken er bundet til navn eller billede. Det gør det nemt at tage et skærmbillede, der kan distribueres til personer, der vil snyde.
Godt nok har QR-koden kun en levetid på 1 time, men det er alt rigeligt til snyderne, der kan overføre både penge og den falske QR-kode digitalt på få sekunder.
– Det går lynhurtigt. Henover weekenden har vi allerede set de første eksempler på danskere, der sælger QR-koder i lukkede grupper på sociale medier. Det bliver misbrugt allerede, siger Peter Kruse fra sikkerhedsfirmaet CSIS til ITWatch.
Hos Sundhedsstyrelsen er man fuldt ud klar over problemet med snyderiet – og der arbejdes på at videreudvikle app’en, så man på Android-telefoner slet ikke kan tage skærmbilleder, men det skal besværliggøres på iPhone. Lisbeth Nielsen understreger, at kontrollørerne skal være opmærksomme indtil rettelserne kommer:
– Ved visuel inspektion af coronapas, skal kontrolløren sikre sig, at der er vandmærker, der reagerer på bevægelse. Bevægelige vandmærker kender vi også fra eksempelvis fysiske legitimationskort. De er netop indbygget for at sikre mod misbrug ved hjælp af screenshots, siger hun til mediet.
Coronapas-app’en blev udgivet fredag til både iPhone og Android. Den er udviklet af Netcompany og Trifork i samarbejde med Digitaliseringsstyrelsen. For at få et pas “frem” i app’en kræver det, at du enten har fået den første vaccine for mere end to uger siden, eller at du har et negativt testresultat, der er mindre end 72 timer gammelt.