החברה מזהירה חברות תעופה מפני איום רציני על ביטחון הטיסות בגלל אישורי בדיקות קוביד-19 ודרכוני בריאות מזויפים עם טכנולוגיית קוד QR הלא מאובטחת, המכירות של אישורי בדיקות קוביד-19 מזויפים משגשגים ברוסיה והמזרח התיכון
חברת טכנולוגיית הסייבר הבריטיתVST Enterprises )VSTE) השיקה היום את דרכון הבריאות המאובטח “כשיר לטיסה” הציבורי הראשון בעולם שמיועד לטיסות. הפלטפורמה חוצת הגבולות ששמה V-Health Passport
זה דרכון הבריאות הדיגיטלי המאובטח הראשון בעולם שזמין לציבור שהציבור יכול להוריד אותו ולהשתמש בו יחד עם כל צורה של בדיקה או חיסון של קוביד-19 שלא משתמש בטכנולוגיות ברקוד וקוד QR לא מאובטחות. גם חברות תעופה וחברות תחבורה יכולות להוריד ולהשתמש במערכת.
הוא מגיע בתקופה שיש ביקורת רבה על הביטחון שבשימוש בברקוד וקוד QR בטיסות של חברות תעופה אחרי התקפת הסייבר על ראש ממשלת אוסטרליה לשעבר טוני אבוט. כרטיס העלייה למטוס של ראש הממשלה לשעבר בקוואנטס נפרץ. פרטים שכוללים את הדרכון שלו, הטלפון הסלולרי ומסרים בין עובדי קוואנטס עליו יורטו. גם האיומים הרחבים יותר של אישורים מזויפים של בדיקות קוביד-19 נפוצים עם עלייה מדאיגה במכירות של אישורי קוביד-19 מזויפים שמשגשגים ברוסיה ובמזרח התיכון.
VST Enterprises חברת אבטחת וטכנולוגיית הסייבר ממנצ’סטר היא החברה הראשונה בעולם שיש לה פספורט בריאות בזמן אמת שאפשר להשתמש בו לחצות גבולות ובכל נסיעה באוויר, ובים וביבשה.
V-Health Passport
הוא יכול לספק לנוסעים של חברות תעופה ולחברות
התעופה דרכון בריאות דיגיטלי שמאמת את הזהות של הנוסע ואת תוצאות בדיקת הקוביד-19
ופרטי החיסון שלו ביישום מאובטח אחד. V-Health Passport
שלא כמו דרכוני בריאות אחרים, V-Health
Passport
מנכ”ל VSTE והממציא של טכנולוגיית VCode ו-V-Health Passport
“אנחנו החברה הטכנולוגית הראשונה בעולם שפיתחה דרכון בריאות דיגיטלי מאובטח, רב תכליתי, חוצה חברות וחוצה ממשלות שלא מסתמך על שימוש בברקוד או קוד QR כטכנולוגיית האימות שלו. לברקוד ולקוד QR יש השלכות אבטחה פוטנציאליות עצומות כי אפשר לשכפל ולפרוץ אותם, וקוד QR נתון לתהליך שנקרא Attagging. לכן בכל הצעה להשתמש בטכנולוגיה מסוג זה בדרכון בריאות לטיסות יש סיכוני אבטחה מאוד אמיתיים. לא רק המידע האישי של האזרחים בסכנה, גם מצב בדיקות קוביד-19 שלהם, רישומי החיסונים וגם המידע על כרטיסי האשראי שלהם. כל זה יכול להוביל לאפשרות המאוד ריאלית של פריצת נתונים מסיבית וגניבה של המידע והנתונים האישיים של אנשים. זה מדאיג במיוחד כשמשתמשים בטכנולוגיה של ברקוד או קוד QR שמיועדת לשמש באימות של בדיקות קוביד-19 ו/או רישומי חיסונים של אנשים”.
עם הגידול המדאיג והמסחר בשוק השחור באישורי בדיקות קוביד-19 מזויפים זה גם מהווה סיכון ואיום מאוד ממשיים לבטיחות הנוסעים בחברות התעופה עם פוטנציאל להדביק ולזהם נוסעים אחרים במה שאמורה להיות בועה בטוחה מקוביד-19 בתוך מטוס.
יש תיעוד ברור לכך שברקודים וקודי QR ניתן לפרוץ, כך שכל חברת תעופה ששוקלת להשתמש בדרכון בריאות של בדיקות וחיסוני קוביד-19 שמשתמש בשיטת האימות הזאת מסתכנת בפריצה פוטנציאלית רצינית לנתונים של הנוסעים שלה. ב-2018 בריטיש איירווייז קיבלה קנס שיא של 20 מיליון ליש”ט בגלל פריצה לנתונים של 400,000 מהלקוחות שלה שפגעה בנתונים האישיים ונתוני כרטיסי האשראי שלהם.
לואי-ג’יימס דייוויס המשיך ואמר שגם ברקודים וגם קודי QR – שהם הדור הראשון והשני של הטכנולוגיה – לא בטוחים ופגיעים לפריצה.
“קודי QR פותחו במקור כטכנולוגיית סריקה למעקב מקרוב אחרי חלקי מכוניות, רחוק מאוד ממקרי שימוש של זהות ובנקאות ועכשיו דרכוני בריאות דיגיטליים. לאחר מכן הם שימשו לדילוג על ההזנה של אתרי אינטרנט למטרות שיווק וקידום. הם מעולם לא תוכננו מתוך מחשבה על אבטחה או פרטיות… הם פשוט לא מתאימים למטרה ואין להשתמש בהם בכלל בכל צורה להעברה של מידע רגיש, כרטיסים לאירועים או לנסיעות או לדרכון בריאות.
קודי QR יכולים להיות נתונים לתהליך שנקרא Attagging או שכפול. תהליך Attagging הוא כש”קוד QR מקורי” מוחלף על ידי “קוד QR משכופל” שמפנה את מי שסורק את הקוד הזה לאתר דומה שבו אפשר ליירט ולפרוץ נתונים אישיים. הבעיה כל כך חמורה שבהודו לבדה יש יותר ממיליארד טרנזקציות כספיות מזויפות בכל יום באמצעות קודי QR. היות שהמסע של המשתמש הסורק הוא אותו הדבר, רק אנשים בעלי ידע טכני יבחינו ששם הדומיין השתנה”.
כפי שדווח לאחרונה בתחקיר של פורבס מגזין, חוזים שיותר מ-11 מיליון משקי בית בארה”ב לבדה יסרקו קוד QR השנה ורובם, כ-71% מהאנשים שהייתה להם אינטראקציה עם קוד QR לא יידעו אם זאת התחלה של פריצה זדונית. צופים שיותר מ-3.5 מיליארד קודי QR ימומשו השנה ולכן זאת אחת מאינטראקציות הסריקה הטכנית עם הצמיחה הכי מהירה וגם מהווה את אחד מאיומי הסייבר הכי גדולים.
אפשר לשכפל קודי QR ולנתב מחדש לנקודות מידע או אתרי אינטרנט אחרים. לעיתים קרובות פושעים ופצחנים ינצלו את זה על ידי הנחת קוד QR מזויף על קוד QR מקורי, כך שקוד QR לדוגמה בסריקה יקשר לאתר המקורי www.similardomain.com אבל אפשר ליצור קוד QR מזויף ולהניח אותו על הקוד המקורי כדי לנתב מחדש אל www.similar-domain.com וברגע זה רימו את האדם הרגיל להכניס את המידע האישי, הנתונים הפרטיים והמידע הפיננסי שלו. האתר המתחזה נראה ומרגיש בדיוק כמו האתר האמיתי ויוצרים אותו כדי שישקף אותו בדיוק.
VCode® שהוא
הקוד הדיגיטלי המאוד מאובטח שמפעיל את V-Health Passport
לואי-ג’יימס דייוויס הוסיף:
“פיתחנו ובנינו את V-Health
Passport
“באמצעות V-Health
Passport
היעדר המעורבות והאינטראקציה מצד הציבור עם
יישומי מעקב ואיתור ממשלתיים בזמן המגיפה הייתה בגלל פרטיות, אבטחת נתונים והמעקב
אחרי המיקום של אנשים בזמן אמת. זאת הסיבה שבנינו מערכת ייחודית בסגנון של
“זהות ריבונית עצמית” שמתוכננת עם האתיקה של פרטיות ואבטחה. V-Health
Passport
V-Health Passport
אזרח יוכל לשתף את אישור הבריאות שלו ולאמת את מצב בדיקת הקוביד-19 שלו, או להציג את רישום החיסונים. הוא גם יוכל להציג את דירוג האשראי שלו, היתר עבודה או ויזה, ולסרוק את כרטיס הנסיעה או האירוע שלו. בליבה של כל אינטראקציה הוא יוכל להיות בטוח שהנתונים והמידע שלו מאוד מאובטחים ובסופו של דבר הוא שולט במי רואה מה, מי סורק מה, היכן ומתי.
