Bezpečnostná katastrofa štátnej aplikácie: Banálna chyba odhalila osobné údaje takmer 400 000 ľudí testovaných na koronavírus
Slovenské aplikácie vyvinuté kvôli pandémii koronavírusu sú už dlho kritizované pre množstvo problémov a bezpečnostných nedostatkov. Najnovšie sa ukázalo chabé zabezpečenie databázy pacientov v aplikácii Moje eZdravie. Vo výsledku mohlo dôjsť k zneužitiu banálnej chyby a úniku citlivých informácií 390 000 ľudí, ktorí absolvovali testy na COVID-19. Na problém upozornila spoločnosť Nethemba a téme sa ako prvý venoval portál Živé.sk.
Etickí hackeri dokážu neraz odhaliť zraniteľnosti, ktoré by v prípade zneužitia „zlými“ hackermi mohli mať ďalekosiahle následky. Rovnako tak mohla dopadnúť aj situácia na Slovensku.
Chyba bola objavená v aplikácii Moje eZdravie, pričom ju bolo možné zneužiť jednoduchým príkazom. Spoločnosť Nethemba problém nahlásila vládnej kyberbezpečnostnej jednotke CSIRT.
Údaje stoviek tisíc ľudí boli dostupné bez zabezpečenia
Chyba bola opravená po približne 3 dňoch. K nahláseniu došlo ešte 13. septembra v neskorých večerných hodinách, no oprava bola vydaná 16. septembra v poobedňajších hodinách. Podľa odborníkov z Nethemba išlo o „triviálnu zraniteľnosť“. Jej zneužitím sa etický hacker dokázal dostať k detailným informáciám z 391 250 záznamov pacientov, pričom využili krátky príkaz vo forme:
#!/bin/bash
for (( i=8966; i < 391000; i++ )); do
wget https://mojeezdravie.nczisk.sk/api/cntnt.dnld.php/$i
done
Firme sa podarilo pri tomto etickom hackovaní identifikovať dostatočné množstvo unikátnych záznamov, mnohé z nich boli do databázy pridané len nedávno. Medzi citlivými informáciami, ktoré mohli uniknúť, boli podľa spoločnosti „meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch, kód vzorky, dátum presného odberu, laboratórium, ktoré daný test vykonalo, lekár žiadateľ, číslo protokolu, dátum prijatia a vyšetrenia, druhy testu a samozrejme jeho výsledok“.
K informáciám sa mohol dostať ktokoľvek
Množstvo odhalených informácií je nanajvýš znepokojujúce a len podčiarkuje problémy súvisiace so štátnou aplikáciou Moje eZdravie. Získané informácie by v prípade skutočného hackerského útoku mohli byť zneužité na rôzne účely, vydieranie, podvodné správy a iné cielené útoky na konkrétne osoby. Všetky osobné údaje pacientov boli dostupné v nešifrovanej forme bez akéhokoľvek zabezpečenia a prístup k nim mohol získať prakticky ktokoľvek aj bez autentifikácie.
Navyše došlo aj k úniku API volaní verejným vyhľadávačom. Pomocou volania API sa informácie odošlú a spracujú späť k používateľovi. Takéto volania boli pritom indexované aj vo vyhľadávači, čo len zľahčovalo šancu, že sa k nim dostane neoprávnená osoba. Momentálne však nie je známe, či sa k týmto osobným údajom pacientov dostali aj „neetickí“ hackeri alebo iné osoby.
Čítajte viac z kategórie: Cyber
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Kybernetická bezpečnosť bežného účtu: Na čo si dávať pozor
TOP 8 aplikácií na správu času, ktoré ti zmenia život. Bez čísla 7 by som nevedel fungovať
Nevyhadzuj stovky eur za nový mobil. Takto svoj smartfón zrýchliš aj o 100 % v 4 krokoch
Ak si dostal tento email, okamžite spozorni. Experti varujú Slovákov, aby neprišli o všetko
Vedia o tebe všetko. 7 spôsobov, ako špehujú tvoj smartfón (+ako sa chrániť)
NAJČÍTANEJŠIE ZO STARTITUP
Rebríček najhorších SUV na slovenskom trhu: Tieto autá technickou kontrolou len tak neprejdú, tvrdia odborníci
Stála na prahu smrti, dnes má telo dvadsiatničky: 53-ročná lekárka odhalila rutinu, ktorá ju omladila o tri desaťročia
Tajný dôchodkový bonus: Ako získať stovky eur navyše pri odchode do penzie (NÁVOD)
MIMORIADNE: Polícia zadržala známeho podnikateľa. Je podozrivý zo zločinu voči maloletým
Zabraňuje návalom hladu a brzdí priberanie: Biohacking trik Kristen Bell zaujal odborníkov na výživu
- 24 hod
- 48 hod
- 7 dní
-
- Zrodila sa technológia, ktorá berie dych. Lietadlo obalené bublinou môže znamenať revolúciu v histórii letectva
- Stroj zo studenej vojny prerobili na toto. Svetová veľmoc uchvátila svet, môže mať zákerné úmysly
- Slovákom leží v zuboch dodnes. Toto je príbeh filmu, kvôli ktorému Habera zažaloval Tarantinovho žiaka
- Hovoria o najlepšom filme posledných rokov. Oscarové prekvapenie je konečne online
- Ponúka silný motor za dostupné ceny. Volkswagen spustil na Slovensku predpredaj nového SUV
-
- Zrodila sa technológia, ktorá berie dych. Lietadlo obalené bublinou môže znamenať revolúciu v histórii letectva
- Hovoria o najlepšom filme posledných rokov. Oscarové prekvapenie je konečne online
- Ponúka silný motor za dostupné ceny. Volkswagen spustil na Slovensku predpredaj nového SUV
- Stroj zo studenej vojny prerobili na toto. Svetová veľmoc uchvátila svet, môže mať zákerné úmysly
- Slovákom leží v zuboch dodnes. Toto je príbeh filmu, kvôli ktorému Habera zažaloval Tarantinovho žiaka
-
- Na objavenie čakal 140 miliónov rokov. 15 km pod Európou našli vedci stratený svet
- Na Slovensku odštartovala nová TV stanica. Dá sa pozerať úplne zadarmo a je v HD kvalite
- Pošlú ich rovno do šrotu. Kontroverzná regulácia Európskej komisie o autách je na spadnutie
- Zrodila sa technológia, ktorá berie dych. Lietadlo obalené bublinou môže znamenať revolúciu v histórii letectva
- Nič podobné nenašli vyše 150 rokov. Záhadný kameň v Egypte odhalil „posolstvo“ staré 2263 rokov
Poľsko sa výrazne vojensky vyzbrojuje. Do konca roka chce posilniť svoju kľúčovú zónu
Kybernetická éra sa ukázala v Košiciach. SlovakiaTech 2025 láme všetky očakávania
Realita o elektroautách prekvapila celé Slovensko. Len malá časť ľudí má reálnu skúsenosť za volantom
Nečakaná krajina zbrojí na úroveň veľmocí. Od Izraelu kúpila zbrane za vyše 2 miliardy eur
Nenápadný faktor nás oberá o miliardy eur: Európska únia je pod tlakom extrémnych javov, ničia ekonomiku štátov
NAJČÍTANEJŠIE ZO STARTITUP