27.10.2021 | 00:10

Adam Haertle

Jak Adolf Hitler się zaszczepił i dostał ważny polski certyfikat COVID

Nie, to nie jest żart. W sieci znaleźć można ważny certyfikat COVID wystawiony w Polsce dla Adolfa Hitlera, urodzonego 1 stycznia 1930. Co więcej, osoba udostępniająca certyfikat twierdzi, że może wystawić ich więcej za jedyne 300 dolarów.

Certyfikaty COVID, przedstawiane w postaci kodu QR, mają zaświadczać o szczepieniu, przechorowaniu lub negatywnym wyniku testu i umożliwiać m.in. podróżowanie po Unii Europejskiej. Teoretycznie nie da się ich podrobić – dzięki zastosowaniu kryptografii asymetrycznej prawidłowo podpisane certyfikaty wystawiać mogą tylko posiadacze odpowiednich kluczy prywatnych, czyli autoryzowane przez rząd podmioty. Temat w szczegółach opisał nieoceniony Informatyk Zakładowy – polecamy lekturę. Tymczasem ktoś jednak wystawił certyfikat dla Hitlera, a nawet dwa.

Temat dla miłośników certyfikatów

Na pewnym forum w sieci (wcale nie w magicznym darknecie, tylko w takim normalnym internecie) od dawna trwa dyskusja na temat możliwości tworzenia własnych, prawidłowych certyfikatów COVID. Z oczywistych powodów opisanych powyżej dyskusja jest teoretyczna – a raczej była aż do ostatniej niedzieli, gdy do akcji wkroczył użytkownik o pseudonimie „przedsiebiorca”. Przedstawił on ofertę sprzedaży certyfikatów potwierdzających szczepienie COVID przeprowadzone w Polsce.

Jego oferta spotkała się zarówno z dużym zainteresowaniem, jak i sceptycyzmem. Inny użytkownik poprosił o spreparowanie certyfikatu dla Adolfa Hitlera jako dowodu możliwości.

Autor ogłoszenia wkrótce poinformował, że zlecenie zrealizował i kod QR wysłał w wiadomości prywatnej.

Odbiorca potwierdził otrzymanie prawidłowo podpisanego kodu

Wkrótce opublikował także obrazek, umożliwiając weryfikację wiarygodności.

Nawet Hitler zaszczepił się na COVID

Oto kod QR Adolfa Hitlera:

Skąd wiemy, że jest prawidłowy? Mówi nam o tym aplikacja „Skaner certyfikatów COVID”, wydana przez Centrum e-Zdrowia. Wystarczy ją zainstalować i kod zeskanować.

To autor może wystawiać te certyfikaty czy nie?

Tu robi się ciekawie. Co prawda, aplikacja do weryfikacji kodu wielu informacji nam nie pokazuje, ale na szczęście mamy skrypty. Mówią one tak:

ah$ python3.9 vacdec.py hitler.jpg
{-260: {1: {'dob': '1930-01-01',
'nam': {'fn': 'Hitler',
'fnt': 'HITLER',
'gn': 'Adolf',
'gnt': 'ADOLF'},
'v': [{'ci': 'URN:UVCI:01:PL:1/AF2AA5873FAF45DFA826B8A01237BDC4',
'co': 'PL',
'dn': 1,
'dt': '2021-07-11',
'is': 'Centrum e-Zdrowia',
'ma': 'ORG-100001417',
'mp': 'EU/1/20/1525',
'sd': 1,
'tg': '840539006',
'vp': 'J07BX03'}],
'ver': '1.0.0'}},
1: 'PL',
4: 1685101990,
6: 1635098906}

Możemy z tego wyczytać (dzięki artykułowi Tomka), że:

  • certyfikat był wystawiony 24 października 2021 o 18:08:26, więc po publikacji wpisu na forum,
  • jest ważny do 26 maja 2023,
  • Hitler ostatnią (i jedyną) dawkę szczepionki przyjął 11 lipca 2021,
  • była to szczepionka AstraZeneca.

Hitler szczepił się także we Francji

Co ciekawe, na tym samym forum ktoś opublikował także francuski certyfikat QR Hitlera:

Ten także przechodzi pozytywnie weryfikację w aplikacji, a zawarte w nim dane są dość podobne do polskiej wersji (chociaż np. data urodzenia Hitlera i data szczepienia jest inna, a sam certyfikat był wystawiony dzień później).

Podsumowanie

Czy autor wątku faktycznie zamierza sprzedawać certyfikaty? Tego nie wiemy. Udowodnił na razie, że potrafi je generować i prawidłowo podpisywać (sprawdziliśmy, że podpis jest prawidłowy także innym narzędziem, na wypadek gdyby aplikacja nie robiła tego prawidłowo).

Pewne wątpliwości może budzić fakt, że zarówno konto autora wpisu, jak i konto osoby, która poprosiła o certyfikat Hitlera, powstały 23 października, zatem dzień przed zamieszczeniem i zweryfikowaniem oferty tworzenia kodów QR. Nie da się jednak ukryć, że kod działa. Pozostaje mieć nadzieję, że Centrum e-Zdrowia pracuje właśnie nad ustaleniem, co tam się wydarzyło…

PS. Certyfikat Hitlera pozostanie ważny jeszcze przez półtora roku, ponieważ nikt nie przewidział procedur odwoływania fałszywych certyfikatów…

Powrót

Komentarze

  • 2021.10.27 00:31 Filip

    Pewnie klucze prywatne „wyciekły”.
    Znając życie leżały i dalej leżą sobie gdzieś w secretach na githubie.

    Odpowiedz
    • 2021.10.27 09:52 Monetor

      Wcale bym się nie zdziwił, gdyby apka nie weryfikowała ważności certyfikatu i zwyczajnie można było wpisać co się chce, jako cert potwierdzający, byle zgadzało się z napisem i standardem. Pewnie ruskie haxiory już dawno namachały taką apkę, co generuje i podpisuje cert jaki chcesz.

      Odpowiedz
    • 2021.10.27 12:08 Igor T.

      Też tak z początku myślałem, ale w sumie wystarczy że hasło jakiegoś lekarza, który ma dostęp?

      Tylko że tak to go dość szybko straci, system chyba pozwoli dojść, kto pobrał kod na nazwisko Adolf Hitler.

      Ja w każdym razie widzę gdzie byłem zaszczepiony…

      Odpowiedz
  • 2021.10.27 00:34 Chester

    Wszyscy tu wietrzą spisek, a Adolf na grzbiecie tyranozaura właśnie leci na ciemną stronę Księżyca. Nawet Adolf się zaszczepił – warto!

    Odpowiedz
    • 2021.10.27 10:01 qewew

      ale na ciemnej stronie ksiezyca jest chiński łazik

      Odpowiedz
      • 2021.10.27 11:35 Paul

        Ciekawe, która to jest ta mityczna ciemna strona Księżyca, skoro ze wszystkich stron jest oświetlany promieniami słońca? Pewnie chodzi o niewidoczną z Ziemi stronę Księżyca.

        Odpowiedz
        • 2021.10.28 08:45 Patrycja

          No jakaś ciemna strona jest – ta przeciwna do oświetlonej przez słońce, ale oczywiście zmienia się z prędkością obrotu Księżyca wokół własnej osi ;)

          Odpowiedz
  • 2021.10.27 06:56 Adolf Hitler

    Das ist eine Offenbarung, ich werde dich scharf küssen

    Odpowiedz
  • 2021.10.27 07:11 Hollister

    Co to w ogóle za forum? Takie szaraczki jak ja maja tam dostęp?

    Odpowiedz
    • 2021.10.27 12:54 asdsad

      Jak nie jesteś w stanie znaleźć mając tyle informacji… to nie jest to forum dla Ciebie… :(

      Odpowiedz
  • 2021.10.27 08:28 Maciej

    PS. Certyfikat Hitlera pozostanie ważny jeszcze przez półtora roku, ponieważ nikt nie przewidział procedur odwoływania fałszywych certyfikatów…

    I to chyba mogłoby posłużyć za wstęp lub cały artykuł.

    Odpowiedz
    • 2021.10.27 12:40 Marek

      Też mnie to zdziwiło. Zastanawiałem się nad tym problemem ostatnio i myślałem że to nie jest duży problem. Certyfikaty są przechowywane na centralnym, unijnym serwerze. Unieważniamy jeden, w to miejsce podsyłamy drugi i największym problemem jest wygenerowanie wszystkim nowych QR kodów z nowym podpisem. Ale to nie jest coś nie do ogarnięcia, jestem zaskoczony że nie mamy na to procedur.

      Odpowiedz
      • 2021.10.27 15:00 Igor T.

        „Drobny” problem to ten, że w cholerę ludzi tych QR-kodów nie ogarnia za bardzo, dostali papier po szczepieniu i go noszą. A teraz powiedz im, że mają z jakichś IKP czy czego znów ściągać i drukować (a mają drukarkę w ogóle?)

        Odpowiedz
      • 2021.10.27 18:53 mq

        Tego się nie robi w ten sposób. Tworzysz listę rewokacji certyfikatów i zamieszczasz na niej np. numery seryjne certyfikatów które powinny być uważane za nieważne, nawet jeżeli są poprawnie podpisane. Aplikacja weryfikująca powinna sobie synchronizować listę raz na jakiś czas i wyświetlić alert, jeżeli ktoś posługuje się unieważnionym certyfikatem.

        Odpowiedz
    • 2021.11.11 13:20 Proud Girl

      Jednak zostały unieważnione oba. Wystarczy użyć porządnej aplikacji a nie tego polskiego szajsu.

      Odpowiedz
      • 2021.11.24 21:47 Prezes

        Polska apka Unijny skaner kodów w wersji 2.2.1 weryfikuje certyfikat Adolfa jako nieważny.

        Odpowiedz
  • 2021.10.27 08:34 Xd

    Czekam na Stalina, jechać z nimi

    Odpowiedz
  • 2021.10.27 09:26 Mariusz

    Jest też jeszcze kwestia uczciwości. Słyszałem o przypadkach, gdzie osoba(y) nie była szczepiona, miała certyfikatu i bez żadnego problemu na nim podróżowała drogą lotniczą. Także nie koniecznie trzeba podrabiać, skoro ktoś fałszywki w służbie zdrowia wystawia. Z tego co słyszałem, to było to poza PL.

    Odpowiedz
  • 2021.10.27 09:26 Kuba

    Zgłosiliście do Centrum e-Zdrowia ten problem?

    Odpowiedz
    • 2021.10.27 13:08 neo86

      „Halo?! Dzień dobry. Chciałbym zgłosić iż Adolf Hitler nielegalnie pozyskał certyfikat szczepień na COVID…” – Życzę powodzenia. xD

      Odpowiedz
  • 2021.10.27 09:55 Wrukwiony Dzieciak

    No tak, brawo Polacy. Oczywiście z wszystkich krajów UE oczywiście w Polsce jakiś cwaniak wymyślił kolejny cwaniacki biznes. Potem będzie skamlenie i pomstowanie, jak UE nas wrzuci w strefę czerwoną czy czarną i żadne paszporty nie będą ważne i od każdego będą wszędzie wymagać badań sprzed 3 dni. To wtedy będzie lament, że znowu szykanują biednych niewinnych Polaków. Ale o tym nikt nie myśli teraz bo 300 dolców można zgarnąć. Żałosne.

    Odpowiedz
    • 2021.10.27 12:41 -

      W kazdym innym kraju ue tez falszuja te certyfikaty

      Odpowiedz
    • 2021.10.27 13:10 Imię *

      Udajemy, że nie widzimy kawałka o Francji? A rozmowa na forum była po angielsku — sprawdzić, jak jest po polsku „entrepreneur”, mógł każdy.

      Odpowiedz
  • 2021.10.27 10:01 frgh

    To proste, ktoś dla zabawy wystawił zamiast osobie żyjącej śmieszny certyfikat i się pochwalił w sieci.
    Da się pewnie dowiedzieć kto to wystawił zatem dojdą kto wystawił na osobę, która nie zyje.
    Tu nie ma żadnej kryptografii, żadnego złamania zabezpieczeń. Po prostu nie wierzę by coś takiego dało się zrobić. Albo ktoś poznał klucz i wtedy zarobiłby krocie, albo ktoś się bawi.
    A zweryfikować bardzo prosto. Niech wystawi taki certyfikat na Grzegorza Brauna ;-)

    Odpowiedz
    • 2021.10.27 12:16 Igor T.

      Albo ktoś ma klucze, albo login/hasło punktu szczepień. Tylko że jak ma to drugie, to już jest spalone. Więc boję się, że raczej to pierwsze.

      Odpowiedz
      • 2021.10.28 17:43 c0vid

        Nie bardzo jest jak. Kiedyś Johny DVD złamał klucze (wydobył) bo były offline, dziś to niemożliwe bo jest na serwerze. Zatem ktoś musiałby złamać matematykę albo server.

        Swoją drogą szukałem klucza publicznego by dowiedzieć się jak długi jest ten klucz ale nie udało mi się. Ciekawe jak jakie ma 'k’ zazwyczaj jest to niska liczba pierwsza, 3 albo 11 no i wiedzielibyśmy kiedy został wygenerowany (czy władziuchna przygotowała się wczesniej niż oficjalnie podają).

        W każdym razie nie ma się czego bać. To bujda i nie ma żadnego sposobu generowania certyfikatu. A miejsce gdzie to wystawiono bardzo szybko zostanie odkryte.

        Odpowiedz
  • 2021.10.27 10:05 Grzegorz

    Mnie się pokazuje że nieważny ten certyfikat więc chyba się ogarnęli w odowływaniu

    Odpowiedz
    • 2021.10.27 10:48 Igor T.

      Sprawdziłem właśnie polską, czeską i niemiecką apką, wszystkie potwierdziły.

      Odpowiedz
  • 2021.10.27 10:09 JanekDzbanek

    Na pierwszy rzut oka widać że certyfikat jest nieważny. Przecież hitler urodził się w 1889 a nie 1930 ;P

    Odpowiedz
    • 2021.10.27 10:51 Wolvverine

      Tylko nie wystawisz na ten rok – zobacz czemu właśnie jest 1930 tam.

      Odpowiedz
  • 2021.10.27 11:41 Klapek

    Czekamy na papieża

    Odpowiedz
  • 2021.10.27 13:25 Adolf

    Für Deutschland :)

    Odpowiedz
  • 2021.10.27 13:30 Robert

    Holenderska aplikacja do sprawdzania daje zielone światło dla obu kodów.

    Odpowiedz
  • 2021.10.27 14:41 Mecenas

    A czy przez przypadek aplikacja „Skaner certyfikatów COVID” to nie ten słynny tak niedawno krytykowany Protect GO ?

    Odpowiedz
  • 2021.10.27 15:18 Fukajbobla

    Nie wiem jak tam u Was. Ale interes Sue kreci komus kozacko.
    Od kilku tygodni łowienie leszczyny na telegram fb insta gdzie sie da.
    Od 800zl do 1500 k zaleznie ilu posrednikow.Nie wychodzac z domu masz certyfikat z qr i wpisem na gov.

    Nie szukajac dostalem 3 propozycje w tydzień.

    Odpowiedz
    • 2021.10.27 18:01 max

      ciekawe podaj jakis namiar

      Odpowiedz
      • 2021.10.28 09:37 a

        jeśli nie umiesz do tego dojść po screenie to nie ruszaj bo sobie krzywdę zrobisz

        Odpowiedz
  • 2021.10.27 15:29 SCS

    Ja myślę, że to służby oferują te certyfikaty, żeby zrobić listę kto jest zainteresowany zakupem. Kupujący będzie myślał, że ograł system, a przy siódmej dawce nie będzie już możliwości kupna na lewo, za to będą metale cięzkie w partii przeznaczonej dla nieprawomyślnych.

    Odpowiedz
  • 2021.10.27 15:33 QR

    To jest chyba certyfikat szczepionki Jannsen, a nie AstraZeneca.
    ORG-100001417 = konkretnie Jannsen
    EU/1/20/1525 = konkretnie Jannsen
    J07BX03 = grupa szczepionek covid

    Odpowiedz
  • 2021.10.27 16:52 Dawid

    Ja zawsze wiedziałem że Hitler żyje i ukrywa się w bunkrze i nikt mi nie wierzył.

    Odpowiedz
  • 2021.10.27 17:16 Ady

    podobno klucze wyciekły przez jakąś miskonfigurację serwisu DGC. na innych stronach jakiś gościu tworzył też na zawołanie poprawne certyfikaty dla spongeboba i zapowiedział publikację kluczy prywatnych dla wszystkich krajów eu jak mu się znudzi.

    Odpowiedz
  • 2021.10.27 20:23 Zenek Astra

    Teraz będziecie musieli się szczepić jeszcze trzy razy żeby dostać certyfikat odpowiedzialnej, zdrowej, przebojowej i tej słusznie uprzywilejowanej warstwy spolecznej. Smutna wiadomość jest taka że to hakerzy Astra zeneki innych bigfarm zhakowali certyfikaty aby sprzedać więcej szczepionki i tego dowodzi międzynarodowe śledztwo prowadzone przez aspiranta Gugałe

    Odpowiedz
    • 2021.10.28 09:39 Ye

      zaśmiane w sumie, to pasta?

      Odpowiedz
  • 2021.10.28 00:59 Paweł

    o nie… czy to oznacza, że może teraz bezpiecznie przekroczyć granicę…?

    Odpowiedz
    • 2021.10.28 17:57 Michał

      W zasadzie nigdy nie miał problemu z przekraczaniem granic…

      Odpowiedz
  • 2021.10.28 01:46 wd40

    Tylko, czy Centrum E-zdrowie jest wiarygodne ? Czy w/w aplikacja jest rządowa ?

    Odpowiedz
  • 2021.10.28 02:03 Antyfaszysta z PO

    Wasz portal propaguje nazizm

    Odpowiedz
    • 2021.10.28 09:40 Ye

      hehe bo wiecie tutaj chodzi o to że niby PO jest takie głupie że jak widzi Adolf to od razu mówi o propagowaniu nazizmu haha jestem tak mądry i jeszcze nikt nigdy nie zrobił tego żartu dajcie mi atencji błagam

      Odpowiedz
    • 2021.10.28 12:18 Marcin

      Słaba prowokacja. rzekłbym żałosna.

      Odpowiedz
  • 2021.10.28 11:53 Xavari

    Nie tylko te certyfikaty są fałszywe. Na GitHubie można znaleźć repozytorium w którym jest zbiór znalezionych 'lewych certyfikatów’. Jeden z nich jest wystawiony np. na SpongeBoba lub Myszkę Miki.

    https://github.com/denysvitali/covid-cert-analysis/blob/master/RESULTS.md

    Odpowiedz
  • 2021.10.28 14:10 noname

    No właśnie co za Appk’ę instalujecie na swoich prywatnych smartfonach???
    …, czy to nie jest połów na Pelikany?

    Odpowiedz
  • 2021.10.28 14:56 Xer

    We are passing these on to Poland and France. Unfortunately here in NL we only have the addresses of the project lead / lead architects at those countries; and not their generic security reporting address.
    https://github.com/ehn-dcc-development/hcert-spec/issues/103
    Ktokolwiek w Polsce odpowiadał za bezpieczeństwo tego systemu?

    Odpowiedz
  • 2021.10.28 23:08 rentAcar

    Oj wydaje sie to najprawdopodobniejszym scenariuszem. Wydaje siem 😂

    Odpowiedz
  • 2021.10.29 11:02 Joowi

    Mimo wszystko niepokojące i zastanawiające.
    złamanie portalu trumpa, jakiejś gry albo zrootowanie telefonu to czasem godziny dni. A tu jest kasa do zarobienia i nikomu sie nie udało. To z jednej strony pozytywne, a z drugiej zastanawiające. Tak jak by fachowcy nie chcieli tego tknąć. Może wszyscy fachowcy po prostu sa rządowi. To by mnie uspokoiło w sumie.

    Odpowiedz
  • 2021.10.29 17:08 ewr23wr

    dlaczego kasujecie moje komentarze, to prawda z tym matrixem

    Odpowiedz
  • 2021.11.01 17:58 Paweł

    Mam nadzieję, że pomysł traktowania Europejczyków jak bydło hodowlane spali na panewce zarówno z powodów technicznych jak i niechęci ze strony ludzi wobec faszystowskich metod.

    Odpowiedz
  • 2021.11.02 20:02 R.

    Kupowanie certyfikatow to dzis standard. Jesli ktos duzo podrozuje i nie jest idiota (co najczesciej idzie w parze) na 100% kupi certyfikat. To marne 1-1,5 tys zl w zaleznosci od miejsca zakupu. Szczepic maja sie Kowalskie.

    Odpowiedz
    • 2021.11.05 15:45 Dario

      Właśnie, jesli ktoś dużo podrozuje i nie jest idiota, to się zaszczepi, bo za granicą może ze wnacznie większym prawdopodobieństwem kopnąć w kalendarz.

      Odpowiedz
      • 2021.11.06 12:51 Wymię

        Wiadomo też, że podróże kształcą.

        Odpowiedz
  • 2021.11.24 21:43 Prot

    Ten certyfikat już jest unieważniony.

    Odpowiedz

Zostaw odpowiedź do Igor T.

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak Adolf Hitler się zaszczepił i dostał ważny polski certyfikat COVID

Komentarze