Štátny systém eHranica obsahoval závažné chyby, ktoré mohli v prípade útoku hackeri zneužiť na získanie rodných čísel Slovákov, poslať do karantény prakticky kohokoľvek a navyše „ukradnúť“ aj akýkoľvek vakcinačný preukaz. Na kritické problémy upozornili etickí hackeri zo spoločnosti Nethemba, o téme informoval ako prvý portál Živé.

Problém obrovských rozmerov objavili náhodou

Po predošlých zlyhaniach NCZI v ochrane osobných údajov Slovákov ešte na jeseň minulého roka, kedy mohli hackeri získať prístup ku všetkým Ag/PCR testom a údajom stoviek tisíc testovaných ľudí, objavili etickí hackeri ďalšie neprípustné chyby, tentokrát v eHranici. Štátny systém dlhodobo obsahoval kritické zraniteľnosti, ktoré bolo možné zneužiť prekvapivo jednoducho.

Problém, ktorý na webe Nethemba popísal Pavol Lupták, bol pritom objavený úplnou náhodou a nešlo o cielené hľadanie zraniteľnosti. Zraniteľnosť bola štátnemu CSIRT nahlásená ešte 30. júla, k jej oprave došlo až 9. augusta.

„Cestoval som z Kyjeva do Bratislavy a pri vypĺňaní eHranica formulára som zadal iné kontaktné údaje (iný email, iné mobilné číslo) ako som zadal pri samotnej vakcinácii. Prekvapilo ma, že deň na to, som si nedokázal stiahnuť svoj EÚ COVID-19 certifikát a musel som kontaktovať NCZI supportné centrum.

To mi síce nikdy neodpovedalo, ale prišiel som na to, že keď ako kontaktné údaje na získanie COVID-19-PASS zadám tie, ktoré som naposledy zadával pri vypĺňaní eHranica formulára, tak mi to COVID-19-PASS normálne prepošle a súčasne si dokážem stiahnuť svoj EÚ COVID-19 certifikát. Vtedy som si uvedomil, že týmto trikom dokážem získať COVID-19-PASS / EÚ vakcinačný preukaz prakticky akéhokoľvek človeka, ktorého rodné číslo poznám.

Behom pár minút som našiel iný štátny web, ktorý mi dokázal pre konkrétne rodné číslo a meno overiť, či jeho rodné číslo je platné alebo nie. Jednoduchou enumeráciou som následne dokázal získať rodné číslo pre ľubovoľného človeka, ktorého dátum narodenia poznám. A potom som si všimol, že väčšina politikov a celebrít má svoj dátum narodenia uvedený na wikipedii a všetci ostatní na socialných sieťach…,” informoval Lupták na webe Nethemby.

eHranica bola deravá ako ementál

Celkovo sa objavili dve kritické zraniteľnosti, ktoré vo výsledku otvárali dvere útočníkom pri identifikovaní nielen rodného čísla ktoréhokoľvek Slováka (za predpokladu poznania mena a dátumu narodenia), ale taktiež možnosť získať s rodným číslom akýkoľvek vakcinačný profil očkovaného.

Systém eHranica vytvoril štát pre registráciu cestujúcich prichádzajúcich zo zahraničia, aby získal údaje o pohybe osôb, ktoré vycestovali zo Slovenska a vrátili sa späť. Povinnosť registrácie do systému platí od 19. júla 2021 a registrovať sa musel každý občan Slovenska nad 12 rokov.

Snímka obrazovky/korona.gov.sk

Pokiaľ cestujúci prichádzajúci do krajiny nepodliehal výnimkám zverejneným na webe korona.gov.sk, musel ísť po príchode do domácej izolácie. Celý problém s kritickou zraniteľnosťou sa začína pri NCZI.

Do systému tohto centra sa Slováci registrovali napríklad už pri testovaní, kedy zadávali svoje osobné údaje, vrátane telefónneho čísla a emailu. Pri registrácii do eHranice sa pritom využívalo ako identifikátor rodné číslo, ktoré je pre každého Slováka unikátne.

Útočník by sa nemusel ani príliš snažiť

Avšak, problém nastal v možnosti prepísať formulár v systéme NCZI. Vo formulári totiž bolo možné zmeniť cudzou osobou telefónne číslo aj email registrovanej osoby aj bez jej vedomia. Pokiaľ by teda útočník zadal do formulára eHranica iné telefónne číslo a email, údaje aktualizoval a v systéme NCZI sa prepísali. Pôvodné telefónne číslo a email registrovanej osoby tak boli „odpojené“ a nahradené novými údajmi.

Na nové kontaktné údaje osoby bol zároveň opätovne doručený COVID-19-PASS identifikátor. V jednoduchosti povedané stačilo, aby útočník poznal rodné číslo registrovanej osoby a mohol zmeniť jej telefónne číslo a email v systéme, pričom získal aj jej unikátny identifikátor.

Freepik (Úprava redakcie)

V mene registrovanej osoby a s novými kontaktnými údajmi tak mohol potom útočník požiadať o vydanie nového COVID preukazu, vytvoriť nový prístup do aplikácie GreenPass a taktiež sa registrovať na očkovanie, testovanie alebo dokonca danú osobu mohol poslať do karantény, hoci za hranice nevycestovala. Všetky informácie by sa pritom posielali už na nové telefónne číslo a email, ktorý bol cez eHranicu v systéme NCZI zmenený.

Rodné číslo ľudí by si pritom podľa odborníka z Nethemby vedel ktokoľvek na základe mena a dátumu narodenia (napríklad z Facebooku) overiť cez portál https://www.portaludzs.sk/web/eportal/, na ktorom sa dá overiť aj platnosť rodného čísla mužov a žien.

Pre každý dátum narodenia pritom existuje maximálne 910 rodných čísel, keďže rodné číslo musí byť deliteľné 11. Na vygenerovanie všetkých mužských a ženských rodných čísel tak stačí aj jednoduchý skript, ktorý odhalí všetkých 30 miliónov rodných čísel.

Chyboval aj systém CAPTCHA

Rodné čísla ľudí narodených pred rokom 1954, ktoré boli 9-miestne, je možné podľa etického hackera Nethemby generovať ešte jednoduchšie. Overenie platnosti rodného čísla je potom možné uskutočniť opakovane. Systém CAPTCHA totižto na spomenutom portáli umožnil opakované zadávanie požiadavky. Pre demonštráciu problému Nethemba takýmto spôsobom vygenerovala a identifikovala rodné čísla viacerých prominentných politikov.

Meno a priezvisko pre konkrétne rodné číslo je potom možné získať až 3 spôsobmi, a to buď cez kataster nehnuteľností, ktorý obsahuje meno, priezvisko a dátum narodenia osoby aj s rodným číslom, alebo cez uniknutú databázu vlastníkov z katastra nehnuteľností, prípadne využitím Registra Obyvateľov.

Zneužitie vyššie popísaného problému v systéme eHranica pritom mohlo mať ďalekosiahle následky na život miliónov Slovákov, ktorých údaje, COVID preukaz, COVID-19-PASS a ďalšie mohli skončiť v nesprávnych rukách.

„Vzhľadom na obrovský rozsah potenciálneho zneužitia (nehovoriac o tom, že aplikácia eHranica viedla k úniku všetkých EÚ vakcinačných preukazov), navrhujeme prevádzku aplikácie eHranica úplne ukončiť.

Podobne v situácii, kedy štátne inštitúcie ako NCZI nie sú OPAKOVANE schopné zabezpečiť ochranu osobných informácií miliónov občanov, sme presvedčení, že je nevyhnutné zastaviť akékoľvek ďalšie plošné špehovanie občanov zo strany štátu (napríklad ukončiť prevádzku systémov na plošné špehovanie nakupovacieho správania občanov ako eKasa či eFaktura, kde hrozí ešte závažnejšie zneužitie),“ konštatoval odhalenie kritického problému Pavol Lupták na webe Nethemba.