Bezpečnostná katastrofa štátnej aplikácie: Banálna chyba odhalila osobné údaje takmer 400 000 ľudí testovaných na koronavírus
Slovenské aplikácie vyvinuté kvôli pandémii koronavírusu sú už dlho kritizované pre množstvo problémov a bezpečnostných nedostatkov. Najnovšie sa ukázalo chabé zabezpečenie databázy pacientov v aplikácii Moje eZdravie. Vo výsledku mohlo dôjsť k zneužitiu banálnej chyby a úniku citlivých informácií 390 000 ľudí, ktorí absolvovali testy na COVID-19. Na problém upozornila spoločnosť Nethemba a téme sa ako prvý venoval portál Živé.sk.
Etickí hackeri dokážu neraz odhaliť zraniteľnosti, ktoré by v prípade zneužitia „zlými“ hackermi mohli mať ďalekosiahle následky. Rovnako tak mohla dopadnúť aj situácia na Slovensku.
Chyba bola objavená v aplikácii Moje eZdravie, pričom ju bolo možné zneužiť jednoduchým príkazom. Spoločnosť Nethemba problém nahlásila vládnej kyberbezpečnostnej jednotke CSIRT.
Údaje stoviek tisíc ľudí boli dostupné bez zabezpečenia
Chyba bola opravená po približne 3 dňoch. K nahláseniu došlo ešte 13. septembra v neskorých večerných hodinách, no oprava bola vydaná 16. septembra v poobedňajších hodinách. Podľa odborníkov z Nethemba išlo o „triviálnu zraniteľnosť“. Jej zneužitím sa etický hacker dokázal dostať k detailným informáciám z 391 250 záznamov pacientov, pričom využili krátky príkaz vo forme:
#!/bin/bash
for (( i=8966; i < 391000; i++ )); do
wget https://mojeezdravie.nczisk.sk/api/cntnt.dnld.php/$i
done
Firme sa podarilo pri tomto etickom hackovaní identifikovať dostatočné množstvo unikátnych záznamov, mnohé z nich boli do databázy pridané len nedávno. Medzi citlivými informáciami, ktoré mohli uniknúť, boli podľa spoločnosti „meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch, kód vzorky, dátum presného odberu, laboratórium, ktoré daný test vykonalo, lekár žiadateľ, číslo protokolu, dátum prijatia a vyšetrenia, druhy testu a samozrejme jeho výsledok“.
K informáciám sa mohol dostať ktokoľvek
Množstvo odhalených informácií je nanajvýš znepokojujúce a len podčiarkuje problémy súvisiace so štátnou aplikáciou Moje eZdravie. Získané informácie by v prípade skutočného hackerského útoku mohli byť zneužité na rôzne účely, vydieranie, podvodné správy a iné cielené útoky na konkrétne osoby. Všetky osobné údaje pacientov boli dostupné v nešifrovanej forme bez akéhokoľvek zabezpečenia a prístup k nim mohol získať prakticky ktokoľvek aj bez autentifikácie.
Navyše došlo aj k úniku API volaní verejným vyhľadávačom. Pomocou volania API sa informácie odošlú a spracujú späť k používateľovi. Takéto volania boli pritom indexované aj vo vyhľadávači, čo len zľahčovalo šancu, že sa k nim dostane neoprávnená osoba. Momentálne však nie je známe, či sa k týmto osobným údajom pacientov dostali aj „neetickí“ hackeri alebo iné osoby.
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Vo veľkom ju používajú aj Slováci. Známa služba hlási vážnu bezpečnostnú chybu, toto musíš urobiť
Ľudia zúria a Microsoft ich ignoruje. Windows dostal najviac nenávidenú vec (+ako sa jej zbaviť)
POZOR: Pripraví ťa úplne o všetko a šíri sa „rýchlosťou svetla“. Jeden z najhorších vírusov vo veľkom terorizuje aj Slovákov (+na čo si dať pozor)
„Hračkárstvo hackerov“. Tieto (ne)legálne gadgety si objednáš z internetu aj na Slovensko
Slovák kričí, že mu ubližujú cez Wi-Fi router. Štát mu má zaplatiť odškodné 300 000 €
- 24 hod
- 48 hod
- 7 dní
-
- Buď ju miluješ, alebo nenávidíš. Nová Kia prichádza s vychytávkou, ktorá rozdeľuje automobilový svet
- Neexistuje iba Bitcoin. Toto je TOP 7 ďalších kryptomien, ktoré musíš sledovať, ak chceš zarobiť
- PRVÝ TRAILER: Začnete si zamykať dvere, sľubuje tvorca. Votrelec dostane mrazivý prídavok
- Mafián Stallone opantal Slovákov. Vieme, čo bude s milovaným seriálom ďalej
- Google to má spočítané, tvrdí Elon Musk. Jeho novinka má navždy nahradiť milovaný vyhľadávač
-
- Buď ju miluješ, alebo nenávidíš. Nová Kia prichádza s vychytávkou, ktorá rozdeľuje automobilový svet
- Neexistuje iba Bitcoin. Toto je TOP 7 ďalších kryptomien, ktoré musíš sledovať, ak chceš zarobiť
- PRVÝ TRAILER: Začnete si zamykať dvere, sľubuje tvorca. Votrelec dostane mrazivý prídavok
- Mafián Stallone opantal Slovákov. Vieme, čo bude s milovaným seriálom ďalej
- Google to má spočítané, tvrdí Elon Musk. Jeho novinka má navždy nahradiť milovaný vyhľadávač
-
- Výnimočný motor spasí elektromobily. Mercedes ukázal unikátny pohon, ktorý rozdrví trh
- Je monštruózne v každom smere a Rusi nechápu. USA stavajú najväčšie lietadlo na svete
- Má skoro 2000-krát silnejšiu gravitáciu než Zem. Čína aktivovala zvláštne zariadenie (+na čo slúži)
- Neexistuje iba Bitcoin. Toto je TOP 7 ďalších kryptomien, ktoré musíš sledovať, ak chceš zarobiť
- Konečne je to tu. Slovenský film MIKI si už môžeš pozrieš online na obľúbenej službe
Amazon investuje ďalšie miliardy do AI. Chce zostrojiť niečo, čo tu ešte nebolo
Vysoké clá ohrozujú Atlantik. Môže za to napätie medzi USA a Európou
Zamestnanci v neistote. Technologický gigant plánuje rušenie pracovných miest
Objav, ktorý mení dejiny. Egypťania miešali magické nápoje s drogami
Drahé kovy na vzostupe. Konflikt na Ukrajine dvíha ceny zlata a striebra
Copyright© 2024 by Startitup, s. r. o. Všetky práva vyhradené