Digitalisering

Webbplatsen för covidbevis är oskyddad mot kapare – ”Hur har man missat detta?”

Foto: Erik Cronberg, Digg/E-hälsomyndigheten
Patrik Fältström, internetpionjär. Foto: Anders Frick

Myndigheterna storsatsar på covidbevis åt medborgarna – men glömde att säkra upp domännamnet mot kapare.

Publicerad

Vaccinpass, Gröna beviset, Covidbevis. Namnet på intyget som ska underlätta för EU-medborgare att resa förändrats under våren, men det senaste budet är covidbevis.

Som Ny Teknik tidigare har skrivit ska medborgarna kunna surfa in på covidbevis.se och där enkelt kunna beställa ett intyg inför utlandssemestern eller tjänsteresan.

Domännamnet covidbevis.se tillhör E-hälsomyndigheten, men den är i dagsläget varken skyddad genom Dnssec eller registreringslås – något som öppnar för illvilliga hackare eller andra skojare som vill lura medborgarna.

Så fungerar Dnssec och registreringslås

Med Dnssec signeras poster i namnservern med kryptografiska nycklar och på så sätt säkerställs att svaren – alltså informationen om vilken ip-adress man ska kommunicera med – verkligen kommer från rätt källa.

Registreringslås hindrar någon annan att ta över ett domännamn eller delegera om det till andra namnservrar – något som skulle kunna ske om system hackas eller om inloggningsuppgifter kommer i orätta händer.

– Attacker har skett, och sker, mot domännamn som inte har dessa saker påslagna. Regering och riksdag har sagt flera gånger sagt att dessa saker är viktiga och jag undrar, ärligt talat, hur man kan ha missat det i ett prestigeprojekt som detta, säger Patrik Fältström, internetpionjär och expert inom bland annat domännamnstjänster, till Ny Teknik.

Har själv hjälpt till i arbetet

Han är en av de som har hjälpt till i arbetet med covidbeviset, bland annat i arbetet med bevisets QR-kod, men är trots det kritisk.

– Varför ett nytt domännamn i stället för covidbevis som underdomän till myndighetens befintliga domännamn? Vet man hu spamalgoritmer fungerar? Myndigheterna gör många bra saker men en kedja är inte starkare än sin svagaste länk, säger Patrik Fältström.

E-hälsomyndigheten är medveten om problemen och arbetar nu för att åtgärda dem, svarar de när Ny Teknik ställer frågor om webbplatsen.

”Ska åtgärda detta”

– Vi har idag uppmärksammats på denna brist och har skickat beställningar för att åtgärda detta, säger Hanna Strandberg på E-hälsomyndighetens presstjänst till Ny Teknik.

Hon förklarar också att anledningen till att myndigheten har valt ett separat domännamn är att man vill ha en domän som är lätt att komma ihåg och ska vara enkel att skriva för medborgaren.