Bezpečnostná katastrofa štátnej aplikácie: Banálna chyba odhalila osobné údaje takmer 400 000 ľudí testovaných na koronavírus
Slovenské aplikácie vyvinuté kvôli pandémii koronavírusu sú už dlho kritizované pre množstvo problémov a bezpečnostných nedostatkov. Najnovšie sa ukázalo chabé zabezpečenie databázy pacientov v aplikácii Moje eZdravie. Vo výsledku mohlo dôjsť k zneužitiu banálnej chyby a úniku citlivých informácií 390 000 ľudí, ktorí absolvovali testy na COVID-19. Na problém upozornila spoločnosť Nethemba a téme sa ako prvý venoval portál Živé.sk.
Etickí hackeri dokážu neraz odhaliť zraniteľnosti, ktoré by v prípade zneužitia „zlými“ hackermi mohli mať ďalekosiahle následky. Rovnako tak mohla dopadnúť aj situácia na Slovensku.
Chyba bola objavená v aplikácii Moje eZdravie, pričom ju bolo možné zneužiť jednoduchým príkazom. Spoločnosť Nethemba problém nahlásila vládnej kyberbezpečnostnej jednotke CSIRT.

Údaje stoviek tisíc ľudí boli dostupné bez zabezpečenia
Chyba bola opravená po približne 3 dňoch. K nahláseniu došlo ešte 13. septembra v neskorých večerných hodinách, no oprava bola vydaná 16. septembra v poobedňajších hodinách. Podľa odborníkov z Nethemba išlo o „triviálnu zraniteľnosť“. Jej zneužitím sa etický hacker dokázal dostať k detailným informáciám z 391 250 záznamov pacientov, pričom využili krátky príkaz vo forme:
#!/bin/bash
for (( i=8966; i < 391000; i++ )); do
wget https://mojeezdravie.nczisk.sk/api/cntnt.dnld.php/$i
done
Firme sa podarilo pri tomto etickom hackovaní identifikovať dostatočné množstvo unikátnych záznamov, mnohé z nich boli do databázy pridané len nedávno. Medzi citlivými informáciami, ktoré mohli uniknúť, boli podľa spoločnosti „meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch, kód vzorky, dátum presného odberu, laboratórium, ktoré daný test vykonalo, lekár žiadateľ, číslo protokolu, dátum prijatia a vyšetrenia, druhy testu a samozrejme jeho výsledok“.
K informáciám sa mohol dostať ktokoľvek
Množstvo odhalených informácií je nanajvýš znepokojujúce a len podčiarkuje problémy súvisiace so štátnou aplikáciou Moje eZdravie. Získané informácie by v prípade skutočného hackerského útoku mohli byť zneužité na rôzne účely, vydieranie, podvodné správy a iné cielené útoky na konkrétne osoby. Všetky osobné údaje pacientov boli dostupné v nešifrovanej forme bez akéhokoľvek zabezpečenia a prístup k nim mohol získať prakticky ktokoľvek aj bez autentifikácie.
Navyše došlo aj k úniku API volaní verejným vyhľadávačom. Pomocou volania API sa informácie odošlú a spracujú späť k používateľovi. Takéto volania boli pritom indexované aj vo vyhľadávači, čo len zľahčovalo šancu, že sa k nim dostane neoprávnená osoba. Momentálne však nie je známe, či sa k týmto osobným údajom pacientov dostali aj „neetickí“ hackeri alebo iné osoby.
Čítajte viac z kategórie: Cyber
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú

Historický míľnik pre ľudstvo. Prvý humanoidný robot s umelou inteligenciou sa dá objednať ako spotrebič

Svet zúri: Experti odhalili, čo spôsobilo masívny kolaps internetu. Hackeri to neboli

„Zamestnaj svoj PC”. TOP 5 spôsobov, ako z počítača spraviť pasívny zdroj príjmu

„Ak ťa môže nahradiť AI, nerobíš skutočnú prácu.“ Šéf OpenAI šokoval ľudí, vraj sa odtrhol od reality

Slováci prichádzajú o stovky eur. Najväčšie internetové pasce, ktoré ťa potichu oberajú o peniaze (a ako sa im vyhnúť)
NAJČÍTANEJŠIE ZO STARTITUP

Nový výskum odhaľuje prekvapivý zdroj infekcií močových ciest. Každý piaty prípad má rovnakú príčinu

Štát určil rýchlosť na chodníku 6 km/h: Polícia bude merať, týmto Slovákom hrozia pokuty

Po rokoch budú obchody 1. novembra otvorené. Niektoré reťazce však obmedzia prevádzku (PREHĽAD)

Polícia varuje: Na východe Slovenska miznú autá, zlodeji cielia na jednu značku

Finančné príspevky pre zdravotníkov dostali zelenú. Mesačne si prilepšia o stovky eur
- 24 hod
- 48 hod
- 7 dní
-
- Netflix priznáva zlyhanie. Zaklínač končí v predstihu, tvorcovia priznali smutnú pravdu
- VIDEO: Zbláznila sa Čína? Neuveríš, čím pokryli celé pohorie
- Pochopili, že ubližujú sami sebe. Bohatá krajina chce okamžite zrušiť clá na elektromobily z Číny
- Akčný veľkofilm 2025 prichádza online. Sľub splniť nedokázal
- Historický míľnik pre ľudstvo. Prvý humanoidný robot s umelou inteligenciou sa dá objednať ako spotrebič
-
- Pochopili, že ubližujú sami sebe. Bohatá krajina chce okamžite zrušiť clá na elektromobily z Číny
- Netflix priznáva zlyhanie. Zaklínač končí v predstihu, tvorcovia priznali smutnú pravdu
- VIDEO: Zbláznila sa Čína? Neuveríš, čím pokryli celé pohorie
- Bez Západu by rýchlo prehrali. Ukrajina zistila, čo v skutočnosti poháňa „ruské“ drony
- Akčný veľkofilm 2025 prichádza online. Sľub splniť nedokázal
-
- Bez Západu by rýchlo prehrali. Ukrajina zistila, čo v skutočnosti poháňa „ruské“ drony
- Vodiči sú proti nim bezradní. Nové radary rozdávajú pokuty za niečo, čo by ti nikdy nenapadlo
- Pochopili, že ubližujú sami sebe. Bohatá krajina chce okamžite zrušiť clá na elektromobily z Číny
- Akčný film 2025 neprestáva udivovať. Ohúril aj Slovákov a naďalej láme rekordy
- VIDEO: Zbláznila sa Čína? Neuveríš, čím pokryli celé pohorie
Európsky Detroit má problém. Slovenský automobilový priemysel sa dostal do slepej uličky
Svetová elita ničí Zem. Oxfam odhalil katastrofálne rozdiely v emisiách
To, čo Nvidia dokázala, nemá v histórii obdoby. Svet financií stojí v nemom úžase
Takú astronomickú hodnotu dosiahli len tri firmy. Technologický gigant prekonal historický míľnik
Obľúbený operátor spúšťa štedrý vianočný kalendár, pre Slovákov si pripravil veľa prekvapení (PREHĽAD)
NAJČÍTANEJŠIE ZO STARTITUP

Nový výskum odhaľuje prekvapivý zdroj infekcií močových ciest. Každý piaty prípad má rovnakú príčinu

Štát určil rýchlosť na chodníku 6 km/h: Polícia bude merať, týmto Slovákom hrozia pokuty

Po rokoch budú obchody 1. novembra otvorené. Niektoré reťazce však obmedzia prevádzku (PREHĽAD)

Polícia varuje: Na východe Slovenska miznú autá, zlodeji cielia na jednu značku

