Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) doet onderzoek naar een geldige QR-code op naam van Adolf Hitler. Cybercriminelen hebben deze QR-code aangemaakt, maar het is nog niet duidelijk hoe dit precies is gebeurd.
Dat blijkt uit onderzoek van RTL Nieuws. Binnen het ministerie maken mensen zich zorgen over hoe de QR-code is gemaakt en welke maatregelen er moeten worden genomen om deze vorm van fraude tegen te gaan.
De code van Hitler is verspreid door een cybercrimineel om te laten zien dat hij elke QR-code kon maken die hij wilde. Hij zegt QR-codes te verkopen en heeft bewijs laten zien dat hij er een aantal heeft gemaakt die afkomstig zijn uit Frankrijk en Polen. De QR-codes zijn ook geldig in Nederland, omdat het gaat om Europese codes.
Update CoronaScanner
CoronaScanner, de Nederlandse app om QR-codes te scannen, biedt de mogelijkheid om bepaalde codes te blokkeren. In de loop van vandaag heeft het ministerie maatregelen genomen door een update van de app uit te brengen.
Inmiddels geeft de scanner een rood kruis als je één van de nagemaakte QR-codes probeert te scannen.
Er zijn een aantal scenario's mogelijk: het kan gaan om een malafide medewerker van de GGD in Frankrijk of Polen die deze QR-codes op naam aanmaakt. Maar volgens bronnen rondom CoronaCheck houdt het ministerie rekening met een veel erger scenario: dat de geheime sleutels van de Franse en Poolse QR-codes zijn gestolen.
Private keys
Als de geheime sleutels, ook wel private keys genoemd, daadwerkelijk zijn gestolen, dan zouden alle QR-codes van die landen opnieuw moeten worden uitgegeven. Er is momenteel geen bewijs dat de Nederlandse geheime sleutels voor de QR-codes zijn gestolen.
De code werd oorspronkelijk verspreid op een bekend hackersforum waar de cybercrimineel zijn diensten aanbiedt. RTL Nieuws zocht contact met de verkoper. Hij gaf aan dat hij voor 300 euro een QR-code op een naam naar keuze kan maken. Handel in deze QR-codes is strafbaar.
De crimineel stelt verder dat hij alleen QR-codes uit Polen en Frankrijk kan krijgen. Een fraudeur zou zo'n code op zijn eigen naam en geboortedatum kunnen zetten en ze gebruiken om zonder vaccinatie of negatieve test toegang te krijgen tot bijvoorbeeld de horeca.
Ook in Nederland fraude
Ook in Nederland wordt gefraudeerd met QR-codes. Vorige maand werd een 20-jarige man uit Alphen aan den Rijn gearresteerd omdat hij daarvan wordt verdacht. Meerdere medewerkers van GGD-regio's zijn op non-actief gezet vanwege hun mogelijke betrokkenheid.
Volgens de GGD zijn er steeds meer aanbieders van valse coronavaccinatie- en testbewijzen. "Hier is blijkbaar een markt voor", zei een woordvoerder eerder. Het ministerie heeft inmiddels aangifte gedaan tegen een site waar werd gehandeld in QR-codes.
