'Gabende sikkerhedshul'sundhed.dk: Pærenemt at snyde med coronapas

Snyd med coronapas er dokumentfalsk og kan give dobbeltstraf, forklarer Justitsministeriet.

To klik. Så hurtigt kan du ændre coronatestsvar på sundhed.dk. (Foto: liselotte sabroe © Scanpix)

Når du fremover vil til frisøren, på restaurant eller besøge zoologisk have, skal du kunne fremvise en negativ coronatest, der maksimalt er 72 timer gammel.

Men sikkerhedshuller på sundhed.dk gør, at man kan ændre både svaret og datoen på sit testsvar. Og dermed kan man genbruge en gammel test, så man slipper for at tage en ny, eller ændre svaret på testen, hvis man eventuelt er blevet testet positiv.

Og det er ret ligetil. To klik i din internetbrowser. Mere kræver det ikke for at forfalske både coronapas og lyntest, der danner rammen om det meste af den danske genåbning.

- Det er pærenemt. Det kræver ikke noget geni, for at kunne gøre det. Hvis man ser proceduren i praksis bare en gang, så kan man gentage den selv igen og igen, siger Peter Kruse, der er IT-sikkerhedsekspert hos CSIS.

I forrige uge ændrede sundhed.dk på deres hjemmeside, så man nu også kan se sine lyntest på siden og generere sit coronapas, hvis man er blevet PCR-testet. De seneste tilføjelser har dog ikke ændret på, at man stadig kan ændre på både testsvaret og datoen for testen.

Og som systemet ser ud nu, kan man både ændre dataene via sin mobiltelefon og computer.

- Jeg vil vurdere det som relativt usikkert. Problemet er, at dem, som vil snyde, kan snyde. Det kan de med den løsning, vi har nu. Og det er brandærgerligt. Man burde have taget højde for, at der er mennesker, som kan finde på at ændre på dataene, siger Peter Kruse.

- Det er stort set umuligt for en lærer eller en frisør at kontrollere, om et testresultat er legitimt eller ej, når resultaterne bliver udstedet, som de gør, fortsætter han.

Sundhed.dk frygter dog ikke, at sikkerhedshullerne vil blive udnyttet. Det fortæller Morten Elbæk Petersen, der er direktør i sundhed.dk, i et skriftligt svar til DR Nyheder.

- Der vil jo være tale om dokumentfalsk, som er strafbart. Og generelt har coronapandemien vist, at danskerne følger reglerne og ikke misbruger den tillid, vi som borgere har til hinanden. Derfor er vores forventning også, at borgerne vil bruge vores løsning ansvarligt. Det er i øvrigt også erfaringen indtil nu.

Herunder kan du se, hvordan det ser ud, når coronapasset er blevet manipuleret.

Her er en sammenligning mellem det samme coronapas. Næsten alt kan ændres, og her er testsvar og dato blevet ændret. (Foto: August Olaf Jersild DR Nyheder © (C) DR Nyheder / Foto: August Olaf Jersild DR Nyheder © (C) DR Nyheder)

Kan give fire års fængsel

Det er dog ikke risikofrit, hvis man vælger at benytte sig af manipulerede coronatest. Det kan ende ud i en plet på straffeattesten og en fængselsstraf, hvis man bliver opdaget.

- Efter min opfattelse, så vil der være tale om dokumentfalsk. Hvis man selv ændrer i dokumentet, så er det ikke længere den rette udsteder, der har lavet dokumentet. Og så kan man skuffe i retsforhold (at forårsage en vildfarelse vedrørende rigtigheden eller ægtheden af et dokument red.), hvis man for eksempel dokumenterer, at man er testet negativ, selvom man ikke er, siger Mikkel Nielsen, der er forsvarsadvokat med speciale i strafferet.

Strafferammen for dokumentforfalskning, som ikke er grove overtrædelser, ligger på to år. Men den strafferamme kan blive fordoblet, hvis man vælger at fuske med sin coronatest.

- Så vidt jeg ved, så er det Justitsministeriets opfattelse, at dobbeltstraf formentlig også vil omfatte, når det gælder forfalskning af coronapas og test, da det er coronarelateret. Men det er jo ubetrådt land, og det vil være en konkret vurdering fra domstolens side, siger Mikkel Nielsen.

Justitsministeriet fortæller til DR Nyheder, at snyd med corona-attester kan give dobbeltstraf, fordi det er corona-relateret kriminalitet og dermed er omfattet af den meget omtalte paragraf 81 d, men at en eventuel dom altid vil bero på domstolenes konkrete vurdering.

Tilbage i januar blev fire personer dømt skyldige for dokumentforfalskning, da de brugte forfalskede corona-attester til at komme over den danske grænse. Her blev de også kendt skyldige for overtrædelse af straffelovens paragraf 81 d, og de fik alle dobbelt straf. Det oplyser Justitsministeriet.

Ingen sikkerhedstjek

Der er flere måder, man kan lappe sikkerhedshullerne i systemerne på. For som det er nu, gør man det for nemt at manipulere med dataen. Det siger Peter Kruse, der IT-sikkerhedsekspert hos CSIS.

- Hvis man virkelig gerne vil snyde, så kan man snyde med alt, men det her gør det måske lige oplagt og let nok at snyde, siger han.

Peter Kruse eftelyser et system, der snakker bedre sammen med det data, der bliver udgivet.

- Hvis det skal være mere sikkert, så skal der laves et system, der kommunikerer med serveren, så den kan verificere, at det, som bliver vist, også er det, der står på serveren.

- En midlertidig løsning kunne være en QR-kode, som bliver printet med coronapasset, så resultatet bliver verificeret igennem koden og igennem serveren, siger han.

Herunder kan du ved at trække i slideren se, hvordan det ser ud, når coronatestene er manipuleret på en mobiltelefon.

Her er en sammenligning mellem de samme test. Næsten alt kan ændres, og her er testsvar og dato blevet ændret. (Foto: August Olaf Jersild DR Nyheder © (C) DR Nyheder / Foto: August Olaf Jersild DR Nyheder © (C) DR Nyheder)

DR Nyheder har spurgt sundhed.dk, om de vil følge Peter Kruses råd om at implementere et sikkerhedstjek - en QR-verifikation, der nemt og simpelt kan tjekke dokumentets oplysninger op imod de faktiske sundhedsdata i databasen:

- Der er ikke på nuværende tidspunkt planer om en verifikationsløsning, skriver direktør i sundhed.dk Morten Elbæk Petersen i en mail til DR Nyheder.

To coronapas-løsninger til maj

Sundhed.dk, som landets regioner, kommuner og Sundheds – og Ældreministeriet står bag, vil ikke stille op til interview om sikkerheden i testsystemet.

Men direktør Morten Elbæk Petersen skriver i en mail til DR Nyheder:

- Corona-passet er vigtigt for at sikre en tryg genåbning af Danmark, hvor borgere og virksomheder gradvist kan komme tilbage til hverdagen.

Ifølge ham har sundhed.dk arbejdet sammen med sine leverandører på at sikre, at danskerne kan bruge appen MinSundhed og sundhed.dk, nu hvor dele af Danmark er genåbnet den 6. april, og at sikkerheden her er afgørende:

- Vi får implementeret en løsning i forhold til det, du har omtalt med, at man kan rette i PDF'en allerede den 5. april, så det ikke længere vil være muligt, når samfundet genåbner den 6. april, skrev Morten Elbæk Petersen i en mail til DR Nyheder inden genåbningen.

Og sundhed.dk står stadig ved den udtalelse her på den anden side af genåbningen.

I skrivende stund den 8. april er den løsning dog ikke blevet implementeret, da det stadig er muligt at ændre i teksten på sundhed.dk i sin browser både på coronapasset og i testsvarene. Det betyder i praksis, at man fortsat kan ændre på al tekst, herunder også datoer og testresultater, som findes på sundhed.dk.

Sundhed.dk rådede tidligere borgere til at gemme et skærmbillede af deres oplysninger på platformen, så man slap for køen til hjemmesiden. Det råd er senere blevet trukket tilbage i en pressemeddelse på grund af spørgsmål om sikkerheden.

Når Netcompany og Trifork i maj måned lancerer det "avancerede" coronapas, så bliver det med en række sikkerhedsfeatures, der udelukker snyd.

Det mere usikre coronapas på sundhed.dk kommer dog ikke til at blive lukket ned til den tid, forklarer Sundhedsministeriet i en mail til DR Nyheder.

- Sundhedsministeriet kan oplyse, at der ikke aktuelt er planer om at lukke løsningerne i MinSundhed-appen ned, når det samlede coronapas bliver tilgængeligt i en ny app.

Det undrer Peter Kruse, der kalder det 'dømt til at gå galt', at man vil fortsætte med det coronapas, vi har i dag, når der kommer en mere sikker løsning.

- Det giver ikke nogen mening. Man lukker et hul, men lader et gabende sikkerhedshul stå åbent, siger han.

Opdateret kl. 11:20 med Justitsministeriets forbehold om, at det vil være op til domstolenes konkrete vurdering, om snyd med corona-attester opfylder betingelserne for at anvende 81 d.

Opdateret kl. 10:00 d. 9/4 med rettelse. Tidligere i artiklen stod der, at DR havde modtaget et skriftligt svar fra Sundheds- og Ældreministeriet, men det drejer sig kun om Sundhedsministeriet. Det er nu rettet.

Facebook
Twitter

Mere fra dr.dk