eHranica je deravá ako ementál, útočníkom umožnila získať cudzí vakcinačný preukaz aj ťa poslať do karantény
Štátny systém eHranica obsahoval závažné chyby, ktoré mohli v prípade útoku hackeri zneužiť na získanie rodných čísel Slovákov, poslať do karantény prakticky kohokoľvek a navyše „ukradnúť“ aj akýkoľvek vakcinačný preukaz. Na kritické problémy upozornili etickí hackeri zo spoločnosti Nethemba, o téme informoval ako prvý portál Živé.
Problém obrovských rozmerov objavili náhodou
Po predošlých zlyhaniach NCZI v ochrane osobných údajov Slovákov ešte na jeseň minulého roka, kedy mohli hackeri získať prístup ku všetkým Ag/PCR testom a údajom stoviek tisíc testovaných ľudí, objavili etickí hackeri ďalšie neprípustné chyby, tentokrát v eHranici. Štátny systém dlhodobo obsahoval kritické zraniteľnosti, ktoré bolo možné zneužiť prekvapivo jednoducho.
Problém, ktorý na webe Nethemba popísal Pavol Lupták, bol pritom objavený úplnou náhodou a nešlo o cielené hľadanie zraniteľnosti. Zraniteľnosť bola štátnemu CSIRT nahlásená ešte 30. júla, k jej oprave došlo až 9. augusta.
„Cestoval som z Kyjeva do Bratislavy a pri vypĺňaní eHranica formulára som zadal iné kontaktné údaje (iný email, iné mobilné číslo) ako som zadal pri samotnej vakcinácii. Prekvapilo ma, že deň na to, som si nedokázal stiahnuť svoj EÚ COVID-19 certifikát a musel som kontaktovať NCZI supportné centrum.
To mi síce nikdy neodpovedalo, ale prišiel som na to, že keď ako kontaktné údaje na získanie COVID-19-PASS zadám tie, ktoré som naposledy zadával pri vypĺňaní eHranica formulára, tak mi to COVID-19-PASS normálne prepošle a súčasne si dokážem stiahnuť svoj EÚ COVID-19 certifikát. Vtedy som si uvedomil, že týmto trikom dokážem získať COVID-19-PASS / EÚ vakcinačný preukaz prakticky akéhokoľvek človeka, ktorého rodné číslo poznám.
Behom pár minút som našiel iný štátny web, ktorý mi dokázal pre konkrétne rodné číslo a meno overiť, či jeho rodné číslo je platné alebo nie. Jednoduchou enumeráciou som následne dokázal získať rodné číslo pre ľubovoľného človeka, ktorého dátum narodenia poznám. A potom som si všimol, že väčšina politikov a celebrít má svoj dátum narodenia uvedený na wikipedii a všetci ostatní na socialných sieťach…,” informoval Lupták na webe Nethemby.
eHranica bola deravá ako ementál
Celkovo sa objavili dve kritické zraniteľnosti, ktoré vo výsledku otvárali dvere útočníkom pri identifikovaní nielen rodného čísla ktoréhokoľvek Slováka (za predpokladu poznania mena a dátumu narodenia), ale taktiež možnosť získať s rodným číslom akýkoľvek vakcinačný profil očkovaného.
Systém eHranica vytvoril štát pre registráciu cestujúcich prichádzajúcich zo zahraničia, aby získal údaje o pohybe osôb, ktoré vycestovali zo Slovenska a vrátili sa späť. Povinnosť registrácie do systému platí od 19. júla 2021 a registrovať sa musel každý občan Slovenska nad 12 rokov.
Pokiaľ cestujúci prichádzajúci do krajiny nepodliehal výnimkám zverejneným na webe korona.gov.sk, musel ísť po príchode do domácej izolácie. Celý problém s kritickou zraniteľnosťou sa začína pri NCZI.
Do systému tohto centra sa Slováci registrovali napríklad už pri testovaní, kedy zadávali svoje osobné údaje, vrátane telefónneho čísla a emailu. Pri registrácii do eHranice sa pritom využívalo ako identifikátor rodné číslo, ktoré je pre každého Slováka unikátne.
Útočník by sa nemusel ani príliš snažiť
Avšak, problém nastal v možnosti prepísať formulár v systéme NCZI. Vo formulári totiž bolo možné zmeniť cudzou osobou telefónne číslo aj email registrovanej osoby aj bez jej vedomia. Pokiaľ by teda útočník zadal do formulára eHranica iné telefónne číslo a email, údaje aktualizoval a v systéme NCZI sa prepísali. Pôvodné telefónne číslo a email registrovanej osoby tak boli „odpojené“ a nahradené novými údajmi.
Na nové kontaktné údaje osoby bol zároveň opätovne doručený COVID-19-PASS identifikátor. V jednoduchosti povedané stačilo, aby útočník poznal rodné číslo registrovanej osoby a mohol zmeniť jej telefónne číslo a email v systéme, pričom získal aj jej unikátny identifikátor.
V mene registrovanej osoby a s novými kontaktnými údajmi tak mohol potom útočník požiadať o vydanie nového COVID preukazu, vytvoriť nový prístup do aplikácie GreenPass a taktiež sa registrovať na očkovanie, testovanie alebo dokonca danú osobu mohol poslať do karantény, hoci za hranice nevycestovala. Všetky informácie by sa pritom posielali už na nové telefónne číslo a email, ktorý bol cez eHranicu v systéme NCZI zmenený.
Rodné číslo ľudí by si pritom podľa odborníka z Nethemby vedel ktokoľvek na základe mena a dátumu narodenia (napríklad z Facebooku) overiť cez portál https://www.portaludzs.sk/web/eportal/, na ktorom sa dá overiť aj platnosť rodného čísla mužov a žien.
Pre každý dátum narodenia pritom existuje maximálne 910 rodných čísel, keďže rodné číslo musí byť deliteľné 11. Na vygenerovanie všetkých mužských a ženských rodných čísel tak stačí aj jednoduchý skript, ktorý odhalí všetkých 30 miliónov rodných čísel.
Chyboval aj systém CAPTCHA
Rodné čísla ľudí narodených pred rokom 1954, ktoré boli 9-miestne, je možné podľa etického hackera Nethemby generovať ešte jednoduchšie. Overenie platnosti rodného čísla je potom možné uskutočniť opakovane. Systém CAPTCHA totižto na spomenutom portáli umožnil opakované zadávanie požiadavky. Pre demonštráciu problému Nethemba takýmto spôsobom vygenerovala a identifikovala rodné čísla viacerých prominentných politikov.
Meno a priezvisko pre konkrétne rodné číslo je potom možné získať až 3 spôsobmi, a to buď cez kataster nehnuteľností, ktorý obsahuje meno, priezvisko a dátum narodenia osoby aj s rodným číslom, alebo cez uniknutú databázu vlastníkov z katastra nehnuteľností, prípadne využitím Registra Obyvateľov.
Zneužitie vyššie popísaného problému v systéme eHranica pritom mohlo mať ďalekosiahle následky na život miliónov Slovákov, ktorých údaje, COVID preukaz, COVID-19-PASS a ďalšie mohli skončiť v nesprávnych rukách.
„Vzhľadom na obrovský rozsah potenciálneho zneužitia (nehovoriac o tom, že aplikácia eHranica viedla k úniku všetkých EÚ vakcinačných preukazov), navrhujeme prevádzku aplikácie eHranica úplne ukončiť.
Podobne v situácii, kedy štátne inštitúcie ako NCZI nie sú OPAKOVANE schopné zabezpečiť ochranu osobných informácií miliónov občanov, sme presvedčení, že je nevyhnutné zastaviť akékoľvek ďalšie plošné špehovanie občanov zo strany štátu (napríklad ukončiť prevádzku systémov na plošné špehovanie nakupovacieho správania občanov ako eKasa či eFaktura, kde hrozí ešte závažnejšie zneužitie),“ konštatoval odhalenie kritického problému Pavol Lupták na webe Nethemba.
Čítajte viac z kategórie: Cyber
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Exkluzívne sme videli slovenský dokumentárny klenot. Zavedie ťa na miesta, kde sa bežne nedostaneš
Pridaj sa k najväčšiemu technologickému portálu! Ukáž nám, že hľadáme práve teba
Radikálna zmena pre slovenských divákov. JOJ končí s vysielaním zadarmo
AKTUÁLNE: Svet zasiahol masívny výpadok, nefungujú desiatky dôležitých aplikácií a služieb
Veľká automobilka urobí zo Slovenska elektrickú veľmoc. Bude vyrábať lacné elektromobily pre celú Európu
NAJČÍTANEJŠIE ZO STARTITUP
Silné zemetrasenie zasiahlo našich susedov: Otrasy pocítilo aj Slovensko
Slováci ju na jeseň milujú. Každá porcia tejto zeleniny zlepší trávenie a posilní imunitu
Objavili sme skrytý vianočný poklad: Ubytovanie do 20 eur a trhy bez davov ľudí
Dráma v Tatrách: Rodičia riskovali život 9-mesačného dieťaťa, zachránil ho horský vodca
Polárny vír sa rozpadá. Meteorológovia varujú, že mrazivá zima môže prísť skôr (PREDPOVEĎ)
- 24 hod
- 48 hod
- 7 dní
-
- Máš doma staré mobily? Nevyhadzuj ich, obľúbený operátor ti za každý jeden dá až 100 GB dát
- Experti bijú na poplach. AI vypočítala, ako drasticky sa zmení svet v roku 2030
- Automobilky oklamali svet a budú platiť. Obľúbený pohon zlyhal na celej čiare, produkuje veľké emisie
- Ak nepriateľ zaútočí, bude čeliť vlastnému koncu. Európsky štát otestoval 8100-tonový jadrový kolos
- Z vesmíru sa zrútil na Zem žeravý objekt. Ak sa ho človek dotkne, riskuje veľké zdravotné problémy
-
- Automobilky oklamali svet a budú platiť. Obľúbený pohon zlyhal na celej čiare, produkuje veľké emisie
- Ak nepriateľ zaútočí, bude čeliť vlastnému koncu. Európsky štát otestoval 8100-tonový jadrový kolos
- Máš doma staré mobily? Nevyhadzuj ich, obľúbený operátor ti za každý jeden dá až 100 GB dát
- Vedci objavili 2000-ročný hrob, ktorý popiera logiku. Rímska mohyla blízko Slovenska ukrýva veľkú záhadu
- Experti bijú na poplach. AI vypočítala, ako drasticky sa zmení svet v roku 2030
-
- Ak nepriateľ zaútočí, bude čeliť vlastnému koncu. Európsky štát otestoval 8100-tonový jadrový kolos
- Automobilky oklamali svet a budú platiť. Obľúbený pohon zlyhal na celej čiare, produkuje veľké emisie
- Máš doma staré mobily? Nevyhadzuj ich, obľúbený operátor ti za každý jeden dá až 100 GB dát
- Väčšina Slovákov o nej ani netuší. Ak porušíš túto povinnosť, hrozí ti pokuta 1200 €
- Vedci objavili 2000-ročný hrob, ktorý popiera logiku. Rímska mohyla blízko Slovenska ukrýva veľkú záhadu
Zelenskyi otvorene: Iba tieto ničivé zbrane vrátia Putina späť do reality a zmenia vojnu
Viac než 2000 vedcov varuje EÚ: Takáto klimatická politika bude devastačná, vzďaľuje sa faktom
89 rokov si to nikto nevšimol. Študentka urobila prevratný objav, vylepší kľúčový zdroj energie
Nahradia zastarané Tornáda. Štát EÚ chce kúpiť ďalšie stíhačky od USA, ponesú jadrové bomby
Dosiahne rýchlosť 309 km/h a Rusov privedie do šialenstva. Ukrajina našla odpoveď na zákernú zbraň
NAJČÍTANEJŠIE ZO STARTITUP