Bezpečnostná katastrofa štátnej aplikácie: Banálna chyba odhalila osobné údaje takmer 400 000 ľudí testovaných na koronavírus
Slovenské aplikácie vyvinuté kvôli pandémii koronavírusu sú už dlho kritizované pre množstvo problémov a bezpečnostných nedostatkov. Najnovšie sa ukázalo chabé zabezpečenie databázy pacientov v aplikácii Moje eZdravie. Vo výsledku mohlo dôjsť k zneužitiu banálnej chyby a úniku citlivých informácií 390 000 ľudí, ktorí absolvovali testy na COVID-19. Na problém upozornila spoločnosť Nethemba a téme sa ako prvý venoval portál Živé.sk.
Etickí hackeri dokážu neraz odhaliť zraniteľnosti, ktoré by v prípade zneužitia „zlými“ hackermi mohli mať ďalekosiahle následky. Rovnako tak mohla dopadnúť aj situácia na Slovensku.
Chyba bola objavená v aplikácii Moje eZdravie, pričom ju bolo možné zneužiť jednoduchým príkazom. Spoločnosť Nethemba problém nahlásila vládnej kyberbezpečnostnej jednotke CSIRT.
Údaje stoviek tisíc ľudí boli dostupné bez zabezpečenia
Chyba bola opravená po približne 3 dňoch. K nahláseniu došlo ešte 13. septembra v neskorých večerných hodinách, no oprava bola vydaná 16. septembra v poobedňajších hodinách. Podľa odborníkov z Nethemba išlo o „triviálnu zraniteľnosť“. Jej zneužitím sa etický hacker dokázal dostať k detailným informáciám z 391 250 záznamov pacientov, pričom využili krátky príkaz vo forme:
#!/bin/bash
for (( i=8966; i < 391000; i++ )); do
wget https://mojeezdravie.nczisk.sk/api/cntnt.dnld.php/$i
done
Firme sa podarilo pri tomto etickom hackovaní identifikovať dostatočné množstvo unikátnych záznamov, mnohé z nich boli do databázy pridané len nedávno. Medzi citlivými informáciami, ktoré mohli uniknúť, boli podľa spoločnosti „meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch, kód vzorky, dátum presného odberu, laboratórium, ktoré daný test vykonalo, lekár žiadateľ, číslo protokolu, dátum prijatia a vyšetrenia, druhy testu a samozrejme jeho výsledok“.
K informáciám sa mohol dostať ktokoľvek
Množstvo odhalených informácií je nanajvýš znepokojujúce a len podčiarkuje problémy súvisiace so štátnou aplikáciou Moje eZdravie. Získané informácie by v prípade skutočného hackerského útoku mohli byť zneužité na rôzne účely, vydieranie, podvodné správy a iné cielené útoky na konkrétne osoby. Všetky osobné údaje pacientov boli dostupné v nešifrovanej forme bez akéhokoľvek zabezpečenia a prístup k nim mohol získať prakticky ktokoľvek aj bez autentifikácie.
Navyše došlo aj k úniku API volaní verejným vyhľadávačom. Pomocou volania API sa informácie odošlú a spracujú späť k používateľovi. Takéto volania boli pritom indexované aj vo vyhľadávači, čo len zľahčovalo šancu, že sa k nim dostane neoprávnená osoba. Momentálne však nie je známe, či sa k týmto osobným údajom pacientov dostali aj „neetickí“ hackeri alebo iné osoby.
Čítajte viac z kategórie: Cyber
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Vedia o tebe všetko. 7 spôsobov, ako špehujú tvoj smartfón (+ako sa chrániť)
Aj doma ťa sledujú. 10 najväčších digitálnych hrozieb, ktoré máš doma (a netušíš o nich)
Netušil si, že toto dokáže. TOP 10 tajných funkcií Windowsu, ktoré zmenia, ako používaš PC
Toto už dávno nemáš robiť. 10 najväčších chýb, ktoré Slováci stále robia na svojom PC a mobile
Slováci žili roky v klame. Režim Inkognito nie je vôbec neviditeľný, slúži hlavne na jednu vec
NAJČÍTANEJŠIE ZO STARTITUP
Bežný vitamín môže spomaliť starnutie buniek. Nová štúdia odhaľuje aj nečakané riziko
92-ročná bežkyňa „uteká“ pred časom. Svaly má ako dvadsiatnička, vedci odhalili jej tajomstvo
„Transakčná daň nás stojí 100-tisíc ročne.“ MTBIKER hlási tržby cez 20 miliónov eur, cyklistika nespí, pokles záujmu je mýtus
Utajená operácia na Kryme: Zásah spôsobil Rusku škody za milióny
Sociálna poisťovňa mení pravidlá: Živnostníkom sa od januára 2026 zvýšia sociálne dávky (TABUĽKA)
- 24 hod
- 48 hod
- 7 dní
-
- AKTUÁLNE: Na Slovensku končia tri obľúbené české stanice. Toto je ich náhrada
- Sylvester Stallone ako mafián aj veľký hit Netflixu. TOP 14 noviniek na streamovacích službách v septembri
- EÚ ide po vodičoch. Drastické zmeny pocítia aj Slováci, za toto ti môžu zobrať vodičák (PREHĽAD)
- 15 minút mu tlieskali v stoji. Najočakávanejši film Netflixu ohúril kritikov
- Najväčší problém elektromobilov rozpustili ako cukrovú vatu. Vedci ukázali riešenie, ktoré všetko zmení
-
- AKTUÁLNE: Na Slovensku končia tri obľúbené české stanice. Toto je ich náhrada
- Najväčší problém elektromobilov rozpustili ako cukrovú vatu. Vedci ukázali riešenie, ktoré všetko zmení
- EÚ ide po vodičoch. Drastické zmeny pocítia aj Slováci, za toto ti môžu zobrať vodičák (PREHĽAD)
- 15 minút mu tlieskali v stoji. Najočakávanejši film Netflixu ohúril kritikov
- Toto astronómovia nečakali. Vo vnútri Jupitera sa nachádza niečo úplne iné, ako doteraz tvrdili
-
- Takto vyzerá budúcnosť energie. Nemecká turbína veľká ako anténa dokáže napájať domácnosť a už má plnú certifikáciu
- Ničia planétu a zarábajú miliardy. Nové dáta odhalili najväčších vinníkov klimatickej krízy
- Už žiadne pokuty, rovno ti vezmú auto. Susedná krajina spustila extrémne prísny zákon
- Z vesmíru prišiel signál, aký vedci ešte nikdy nevideli. Je čistý, neprirodzený a nevedia ho vysvetliť
- Slovákov odpočúvajú, ani o tom nevedia. Takto zistíš, či sa to týka aj tvojho mobilu
Slovensko nedokáže opraviť kľúčovú elektráreň už 10 rokov. Cena jej opravy exponenciálne stúpa
AKTUÁLNE: ZSSK hlási veľký výpadok. Nefungujú jej viaceré dôležité služby
Šokujúci incident na letisku v Bulharsku: Ruské rušičky vyradili GPS a ohrozili šéfku Európskej komisie
Ďalší automobilový gigant upadá, nový model ich nezachránil a situácia sa zhoršuje
Pentagon čaká najväčšia zmena od roku 1949. Trump zvažuje kontroverzný krok
NAJČÍTANEJŠIE ZO STARTITUP