Bezpečnostná katastrofa štátnej aplikácie: Banálna chyba odhalila osobné údaje takmer 400 000 ľudí testovaných na koronavírus
Slovenské aplikácie vyvinuté kvôli pandémii koronavírusu sú už dlho kritizované pre množstvo problémov a bezpečnostných nedostatkov. Najnovšie sa ukázalo chabé zabezpečenie databázy pacientov v aplikácii Moje eZdravie. Vo výsledku mohlo dôjsť k zneužitiu banálnej chyby a úniku citlivých informácií 390 000 ľudí, ktorí absolvovali testy na COVID-19. Na problém upozornila spoločnosť Nethemba a téme sa ako prvý venoval portál Živé.sk.
Etickí hackeri dokážu neraz odhaliť zraniteľnosti, ktoré by v prípade zneužitia „zlými“ hackermi mohli mať ďalekosiahle následky. Rovnako tak mohla dopadnúť aj situácia na Slovensku.
Chyba bola objavená v aplikácii Moje eZdravie, pričom ju bolo možné zneužiť jednoduchým príkazom. Spoločnosť Nethemba problém nahlásila vládnej kyberbezpečnostnej jednotke CSIRT.
Údaje stoviek tisíc ľudí boli dostupné bez zabezpečenia
Chyba bola opravená po približne 3 dňoch. K nahláseniu došlo ešte 13. septembra v neskorých večerných hodinách, no oprava bola vydaná 16. septembra v poobedňajších hodinách. Podľa odborníkov z Nethemba išlo o „triviálnu zraniteľnosť“. Jej zneužitím sa etický hacker dokázal dostať k detailným informáciám z 391 250 záznamov pacientov, pričom využili krátky príkaz vo forme:
#!/bin/bash
for (( i=8966; i < 391000; i++ )); do
wget https://mojeezdravie.nczisk.sk/api/cntnt.dnld.php/$i
done
Firme sa podarilo pri tomto etickom hackovaní identifikovať dostatočné množstvo unikátnych záznamov, mnohé z nich boli do databázy pridané len nedávno. Medzi citlivými informáciami, ktoré mohli uniknúť, boli podľa spoločnosti „meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch, kód vzorky, dátum presného odberu, laboratórium, ktoré daný test vykonalo, lekár žiadateľ, číslo protokolu, dátum prijatia a vyšetrenia, druhy testu a samozrejme jeho výsledok“.
K informáciám sa mohol dostať ktokoľvek
Množstvo odhalených informácií je nanajvýš znepokojujúce a len podčiarkuje problémy súvisiace so štátnou aplikáciou Moje eZdravie. Získané informácie by v prípade skutočného hackerského útoku mohli byť zneužité na rôzne účely, vydieranie, podvodné správy a iné cielené útoky na konkrétne osoby. Všetky osobné údaje pacientov boli dostupné v nešifrovanej forme bez akéhokoľvek zabezpečenia a prístup k nim mohol získať prakticky ktokoľvek aj bez autentifikácie.
Navyše došlo aj k úniku API volaní verejným vyhľadávačom. Pomocou volania API sa informácie odošlú a spracujú späť k používateľovi. Takéto volania boli pritom indexované aj vo vyhľadávači, čo len zľahčovalo šancu, že sa k nim dostane neoprávnená osoba. Momentálne však nie je známe, či sa k týmto osobným údajom pacientov dostali aj „neetickí“ hackeri alebo iné osoby.
Čítajte viac z kategórie: Cyber
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Slovákom hrozí to najhoršie. Uniklo 16 miliárd hesiel a nikto si to nevšimol, hackeri majú prístup ku všetkému
EXKLUZÍVNE: Slovákov okráda „falošná Alza”. Experti varujú, že ťa pripraví o všetky peniaze
Stačí, že spustíš populárne aplikácie. Notebooky odpočúvajú Slovákov, riešenie zatiaľ neexistuje
Slovákov špehujú, ani o tom netušia. Takto overíš, či niekto nesleduje tvoj mobil
Hanba na 100 rokov. Najnovší ChatGPT rozdrvila konzola z roku 1977
NAJČÍTANEJŠIE ZO STARTITUP
Dermatologička varuje pred populárnou zložkou v opaľovacích olejoch a doplnkoch: Zvyšuje riziko rakoviny pľúc o 24 %
Môžeš mať cukrovku a ani o tom netušiť: Mladých ohrozuje choroba, ktorú doteraz spájali len so staršími
„Apokalypsa“ nad Ukrajinou: Rusko vyslalo 477 dronov a 60 rakiet, ide o doposiaľ najväčší vzdušný útok
Tragédia na Zlatých pieskoch: V jazere našli telo 39-ročného muža
„Langoš je najlepšie antidepresívum, ale zároveň dno gastronómie.“ Bratislavčan ho dostal do svetového bedekra
- 24 hod
- 48 hod
- 7 dní
-
- O toto išlo Rusom celý čas. Obsadili jedno z najväčších ložísk dôležitej suroviny v Európe
- V Ázii sa zrútil záhadný supermoderný dron. Nikto nevie, komu patrí
- Nový čínsky motor prežil test, ktorý láme fyzikálne zákony. Využíva pohon ako z iného sveta
- Vedci ostali v nemom úžase. Prehliadaná planéta našej Galaxie v sebe ukrýva poklad za bilióny eur
- Ukrajina nasadila desivý dron s názvom „Peklo“. V prvej akcii zničil všetky ciele a Rusi sú bezradní
-
- O toto išlo Rusom celý čas. Obsadili jedno z najväčších ložísk dôležitej suroviny v Európe
- Majú voňať, namiesto toho nám ničia pľúca. Vedci varujú pred tichým zabijakom ovzdušia v dome
- Ukrajina nasadila desivý dron s názvom „Peklo“. V prvej akcii zničil všetky ciele a Rusi sú bezradní
- Vedci ostali v nemom úžase. Prehliadaná planéta našej Galaxie v sebe ukrýva poklad za bilióny eur
- USA do dronu posadili AI a prišiel veľký šok. V kľúčovom teste zostrelila lietadlo
-
- Slovákov čaká veľké prekvapenie pri nákupe nového mobilu. Začalo platiť prísne nariadenie Európskej únie
- O toto išlo Rusom celý čas. Obsadili jedno z najväčších ložísk dôležitej suroviny v Európe
- Ak zaútočia, pocítia fatálny úder. USA poslali do Európy tisíce vojakov a najsmrtiacejšiu flotilu sveta
- Milovaný pohon Slovákov končí. EÚ chystá devastačné zmeny, ktoré ho pochovajú
- Majú voňať, namiesto toho nám ničia pľúca. Vedci varujú pred tichým zabijakom ovzdušia v dome
Masívny útok Ruska zasiahol celú Ukrajinu. Aktivovali sa aj poľské stíhačky
Slovenské palivá budú lacnejšie než vlani. Zdražovanie sa zastavilo, tvrdia banky
Vesmír zahltený odpadom. EÚ chce zákonom prinútiť operátorov likvidovať satelity
Klimatická veda prehodnocuje svoje modely. Yale navrhuje nový prístup
Darwin sa možno mýlil. Evolúcia prebieha v skokoch, tvrdia vedci
NAJČÍTANEJŠIE ZO STARTITUP