eHranica je deravá ako ementál, útočníkom umožnila získať cudzí vakcinačný preukaz aj ťa poslať do karantény
Štátny systém eHranica obsahoval závažné chyby, ktoré mohli v prípade útoku hackeri zneužiť na získanie rodných čísel Slovákov, poslať do karantény prakticky kohokoľvek a navyše „ukradnúť“ aj akýkoľvek vakcinačný preukaz. Na kritické problémy upozornili etickí hackeri zo spoločnosti Nethemba, o téme informoval ako prvý portál Živé.
Problém obrovských rozmerov objavili náhodou
Po predošlých zlyhaniach NCZI v ochrane osobných údajov Slovákov ešte na jeseň minulého roka, kedy mohli hackeri získať prístup ku všetkým Ag/PCR testom a údajom stoviek tisíc testovaných ľudí, objavili etickí hackeri ďalšie neprípustné chyby, tentokrát v eHranici. Štátny systém dlhodobo obsahoval kritické zraniteľnosti, ktoré bolo možné zneužiť prekvapivo jednoducho.
Problém, ktorý na webe Nethemba popísal Pavol Lupták, bol pritom objavený úplnou náhodou a nešlo o cielené hľadanie zraniteľnosti. Zraniteľnosť bola štátnemu CSIRT nahlásená ešte 30. júla, k jej oprave došlo až 9. augusta.
„Cestoval som z Kyjeva do Bratislavy a pri vypĺňaní eHranica formulára som zadal iné kontaktné údaje (iný email, iné mobilné číslo) ako som zadal pri samotnej vakcinácii. Prekvapilo ma, že deň na to, som si nedokázal stiahnuť svoj EÚ COVID-19 certifikát a musel som kontaktovať NCZI supportné centrum.
To mi síce nikdy neodpovedalo, ale prišiel som na to, že keď ako kontaktné údaje na získanie COVID-19-PASS zadám tie, ktoré som naposledy zadával pri vypĺňaní eHranica formulára, tak mi to COVID-19-PASS normálne prepošle a súčasne si dokážem stiahnuť svoj EÚ COVID-19 certifikát. Vtedy som si uvedomil, že týmto trikom dokážem získať COVID-19-PASS / EÚ vakcinačný preukaz prakticky akéhokoľvek človeka, ktorého rodné číslo poznám.
Behom pár minút som našiel iný štátny web, ktorý mi dokázal pre konkrétne rodné číslo a meno overiť, či jeho rodné číslo je platné alebo nie. Jednoduchou enumeráciou som následne dokázal získať rodné číslo pre ľubovoľného človeka, ktorého dátum narodenia poznám. A potom som si všimol, že väčšina politikov a celebrít má svoj dátum narodenia uvedený na wikipedii a všetci ostatní na socialných sieťach…,” informoval Lupták na webe Nethemby.
eHranica bola deravá ako ementál
Celkovo sa objavili dve kritické zraniteľnosti, ktoré vo výsledku otvárali dvere útočníkom pri identifikovaní nielen rodného čísla ktoréhokoľvek Slováka (za predpokladu poznania mena a dátumu narodenia), ale taktiež možnosť získať s rodným číslom akýkoľvek vakcinačný profil očkovaného.
Systém eHranica vytvoril štát pre registráciu cestujúcich prichádzajúcich zo zahraničia, aby získal údaje o pohybe osôb, ktoré vycestovali zo Slovenska a vrátili sa späť. Povinnosť registrácie do systému platí od 19. júla 2021 a registrovať sa musel každý občan Slovenska nad 12 rokov.
Pokiaľ cestujúci prichádzajúci do krajiny nepodliehal výnimkám zverejneným na webe korona.gov.sk, musel ísť po príchode do domácej izolácie. Celý problém s kritickou zraniteľnosťou sa začína pri NCZI.
Do systému tohto centra sa Slováci registrovali napríklad už pri testovaní, kedy zadávali svoje osobné údaje, vrátane telefónneho čísla a emailu. Pri registrácii do eHranice sa pritom využívalo ako identifikátor rodné číslo, ktoré je pre každého Slováka unikátne.
Útočník by sa nemusel ani príliš snažiť
Avšak, problém nastal v možnosti prepísať formulár v systéme NCZI. Vo formulári totiž bolo možné zmeniť cudzou osobou telefónne číslo aj email registrovanej osoby aj bez jej vedomia. Pokiaľ by teda útočník zadal do formulára eHranica iné telefónne číslo a email, údaje aktualizoval a v systéme NCZI sa prepísali. Pôvodné telefónne číslo a email registrovanej osoby tak boli „odpojené“ a nahradené novými údajmi.
Na nové kontaktné údaje osoby bol zároveň opätovne doručený COVID-19-PASS identifikátor. V jednoduchosti povedané stačilo, aby útočník poznal rodné číslo registrovanej osoby a mohol zmeniť jej telefónne číslo a email v systéme, pričom získal aj jej unikátny identifikátor.
V mene registrovanej osoby a s novými kontaktnými údajmi tak mohol potom útočník požiadať o vydanie nového COVID preukazu, vytvoriť nový prístup do aplikácie GreenPass a taktiež sa registrovať na očkovanie, testovanie alebo dokonca danú osobu mohol poslať do karantény, hoci za hranice nevycestovala. Všetky informácie by sa pritom posielali už na nové telefónne číslo a email, ktorý bol cez eHranicu v systéme NCZI zmenený.
Rodné číslo ľudí by si pritom podľa odborníka z Nethemby vedel ktokoľvek na základe mena a dátumu narodenia (napríklad z Facebooku) overiť cez portál https://www.portaludzs.sk/web/eportal/, na ktorom sa dá overiť aj platnosť rodného čísla mužov a žien.
Pre každý dátum narodenia pritom existuje maximálne 910 rodných čísel, keďže rodné číslo musí byť deliteľné 11. Na vygenerovanie všetkých mužských a ženských rodných čísel tak stačí aj jednoduchý skript, ktorý odhalí všetkých 30 miliónov rodných čísel.
Chyboval aj systém CAPTCHA
Rodné čísla ľudí narodených pred rokom 1954, ktoré boli 9-miestne, je možné podľa etického hackera Nethemby generovať ešte jednoduchšie. Overenie platnosti rodného čísla je potom možné uskutočniť opakovane. Systém CAPTCHA totižto na spomenutom portáli umožnil opakované zadávanie požiadavky. Pre demonštráciu problému Nethemba takýmto spôsobom vygenerovala a identifikovala rodné čísla viacerých prominentných politikov.
Meno a priezvisko pre konkrétne rodné číslo je potom možné získať až 3 spôsobmi, a to buď cez kataster nehnuteľností, ktorý obsahuje meno, priezvisko a dátum narodenia osoby aj s rodným číslom, alebo cez uniknutú databázu vlastníkov z katastra nehnuteľností, prípadne využitím Registra Obyvateľov.
Zneužitie vyššie popísaného problému v systéme eHranica pritom mohlo mať ďalekosiahle následky na život miliónov Slovákov, ktorých údaje, COVID preukaz, COVID-19-PASS a ďalšie mohli skončiť v nesprávnych rukách.
„Vzhľadom na obrovský rozsah potenciálneho zneužitia (nehovoriac o tom, že aplikácia eHranica viedla k úniku všetkých EÚ vakcinačných preukazov), navrhujeme prevádzku aplikácie eHranica úplne ukončiť.
Podobne v situácii, kedy štátne inštitúcie ako NCZI nie sú OPAKOVANE schopné zabezpečiť ochranu osobných informácií miliónov občanov, sme presvedčení, že je nevyhnutné zastaviť akékoľvek ďalšie plošné špehovanie občanov zo strany štátu (napríklad ukončiť prevádzku systémov na plošné špehovanie nakupovacieho správania občanov ako eKasa či eFaktura, kde hrozí ešte závažnejšie zneužitie),“ konštatoval odhalenie kritického problému Pavol Lupták na webe Nethemba.
Čítajte viac z kategórie: Cyber
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Po tomto mobile túži každý Slovák: Má lokálne služby, TOP parametre a stál by polovicu minimálnej mzdy
Slováci o nich vôbec netušia. Expert prezradil tajné triky, ktorými ušetríš stovky eur na energiách
Slováci píšu falošné recenzie za desiatky eur. Našli sme špinavý biznis, ktorý klame ľudí a je ilegálny
Hyperloop, autonomné busy či dronové doručovanie. Takto vyzerá budúcnosť dopravy na Slovensku
AKTUÁLNE: Konečne obnovili dôležitú službu katastra. Nová verzia sľubuje vyššiu ochranu pred útokmi
NAJČÍTANEJŠIE ZO STARTITUP
Dermatologička varuje pred populárnou zložkou v opaľovacích olejoch a doplnkoch: Zvyšuje riziko rakoviny pľúc o 24 %
Jadrová zima a vietor vyše 750 km/h. Vedci zistili, čo by sa stalo, keby dnes vypukla nukleárna vojna
Posledné dni na zmenu: Tisíce Slovákov môžu od júla zbytočne platiť viac za elektrinu
Tragédia na Zlatých pieskoch: V jazere našli telo 39-ročného muža
Vedci bijú na poplach: Arktický ľad mizne najrýchlejšie v histórii. Zima v Európe bude mrazivejšia
- 24 hod
- 48 hod
- 7 dní
-
- O toto išlo Rusom celý čas. Obsadili jedno z najväčších ložísk dôležitej suroviny v Európe
- V Ázii sa zrútil záhadný supermoderný dron. Nikto nevie, komu patrí
- Vedci ostali v nemom úžase. Prehliadaná planéta našej Galaxie v sebe ukrýva poklad za bilióny eur
- Ukrajina nasadila desivý dron s názvom „Peklo“. V prvej akcii zničil všetky ciele a Rusi sú bezradní
- Nový čínsky motor prežil test, ktorý láme fyzikálne zákony. Využíva pohon ako z iného sveta
-
- O toto išlo Rusom celý čas. Obsadili jedno z najväčších ložísk dôležitej suroviny v Európe
- Majú voňať, namiesto toho nám ničia pľúca. Vedci varujú pred tichým zabijakom ovzdušia v dome
- Ukrajina nasadila desivý dron s názvom „Peklo“. V prvej akcii zničil všetky ciele a Rusi sú bezradní
- USA do dronu posadili AI a prišiel veľký šok. V kľúčovom teste zostrelila lietadlo
- Ak zaútočia, pocítia fatálny úder. USA poslali do Európy tisíce vojakov a najsmrtiacejšiu flotilu sveta
-
- Slovákov čaká veľké prekvapenie pri nákupe nového mobilu. Začalo platiť prísne nariadenie Európskej únie
- O toto išlo Rusom celý čas. Obsadili jedno z najväčších ložísk dôležitej suroviny v Európe
- Ak zaútočia, pocítia fatálny úder. USA poslali do Európy tisíce vojakov a najsmrtiacejšiu flotilu sveta
- Milovaný pohon Slovákov končí. EÚ chystá devastačné zmeny, ktoré ho pochovajú
- Majú voňať, namiesto toho nám ničia pľúca. Vedci varujú pred tichým zabijakom ovzdušia v dome
Slovenské palivá budú lacnejšie než vlani. Zdražovanie sa zastavilo, tvrdia banky
Vesmír zahltený odpadom. EÚ chce zákonom prinútiť operátorov likvidovať satelity
Klimatická veda prehodnocuje svoje modely. Yale navrhuje nový prístup
Darwin sa možno mýlil. Evolúcia prebieha v skokoch, tvrdia vedci
Internet cez prázdniny môže byť mimoriadne nebezpečný. Deti čelia podvodom aj predátorom, varuje NBÚ
NAJČÍTANEJŠIE ZO STARTITUP