Bezpečnostná katastrofa štátnej aplikácie: Banálna chyba odhalila osobné údaje takmer 400 000 ľudí testovaných na koronavírus
Slovenské aplikácie vyvinuté kvôli pandémii koronavírusu sú už dlho kritizované pre množstvo problémov a bezpečnostných nedostatkov. Najnovšie sa ukázalo chabé zabezpečenie databázy pacientov v aplikácii Moje eZdravie. Vo výsledku mohlo dôjsť k zneužitiu banálnej chyby a úniku citlivých informácií 390 000 ľudí, ktorí absolvovali testy na COVID-19. Na problém upozornila spoločnosť Nethemba a téme sa ako prvý venoval portál Živé.sk.
Etickí hackeri dokážu neraz odhaliť zraniteľnosti, ktoré by v prípade zneužitia „zlými“ hackermi mohli mať ďalekosiahle následky. Rovnako tak mohla dopadnúť aj situácia na Slovensku.
Chyba bola objavená v aplikácii Moje eZdravie, pričom ju bolo možné zneužiť jednoduchým príkazom. Spoločnosť Nethemba problém nahlásila vládnej kyberbezpečnostnej jednotke CSIRT.

Údaje stoviek tisíc ľudí boli dostupné bez zabezpečenia
Chyba bola opravená po približne 3 dňoch. K nahláseniu došlo ešte 13. septembra v neskorých večerných hodinách, no oprava bola vydaná 16. septembra v poobedňajších hodinách. Podľa odborníkov z Nethemba išlo o „triviálnu zraniteľnosť“. Jej zneužitím sa etický hacker dokázal dostať k detailným informáciám z 391 250 záznamov pacientov, pričom využili krátky príkaz vo forme:
#!/bin/bash
for (( i=8966; i < 391000; i++ )); do
wget https://mojeezdravie.nczisk.sk/api/cntnt.dnld.php/$i
done
Firme sa podarilo pri tomto etickom hackovaní identifikovať dostatočné množstvo unikátnych záznamov, mnohé z nich boli do databázy pridané len nedávno. Medzi citlivými informáciami, ktoré mohli uniknúť, boli podľa spoločnosti „meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch, kód vzorky, dátum presného odberu, laboratórium, ktoré daný test vykonalo, lekár žiadateľ, číslo protokolu, dátum prijatia a vyšetrenia, druhy testu a samozrejme jeho výsledok“.
K informáciám sa mohol dostať ktokoľvek
Množstvo odhalených informácií je nanajvýš znepokojujúce a len podčiarkuje problémy súvisiace so štátnou aplikáciou Moje eZdravie. Získané informácie by v prípade skutočného hackerského útoku mohli byť zneužité na rôzne účely, vydieranie, podvodné správy a iné cielené útoky na konkrétne osoby. Všetky osobné údaje pacientov boli dostupné v nešifrovanej forme bez akéhokoľvek zabezpečenia a prístup k nim mohol získať prakticky ktokoľvek aj bez autentifikácie.
Navyše došlo aj k úniku API volaní verejným vyhľadávačom. Pomocou volania API sa informácie odošlú a spracujú späť k používateľovi. Takéto volania boli pritom indexované aj vo vyhľadávači, čo len zľahčovalo šancu, že sa k nim dostane neoprávnená osoba. Momentálne však nie je známe, či sa k týmto osobným údajom pacientov dostali aj „neetickí“ hackeri alebo iné osoby.
Čítajte viac z kategórie: Cyber
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú

Viac ako 5 miliárd iPhonov a Androidov ohrozuje banálna funkcia. Radšej ju vypni

Falošná SMS od kuriéra útočí na Slovákov. Poplatok 0,79 € je skrytá pasca na tvoju kartu

Taliani testujú odvážnu vec. Tento laser má dokázať niečo, čo zatiaľ nikto iný nedokázal

ChatGPT čaká veľká zmena. OpenAI chce z chatbota vytvoriť „super-aplikáciu“

Vedci odhalili, ktoré zamestnania nahradí AI ako prvé. Je tvoje v bezpečí?
NAJČÍTANEJŠIE ZO STARTITUP

Nové pravidlá na slovenských kúpaliskách: Vstupné 20 eur pre „cezpoľných“, inde ťa už ani nepustia
PREMIUMJediný Čechoslovák s výcvikom Navy SEALs: To, čo som videl v Afganistane pri ženách, bolo kruté

MIMORIADNE: V Rimavskej Sobote vybuchol stánok s langošmi. Ľudia ušli v poslednej sekunde

MIMORIADNE Tragédia na východe Slovenska: V rieke našli telo muža, polícia vyšetruje okolnosti smrti

25-ročný lekár bojuje za zmenu pravidiel vo futbale: Varuje pred demenciou či neurodegeneratívnymi ochoreniami
- 24 hod
- 48 hod
- 7 dní
-
- Slováci vo veľkom zapínajú klimatizácie. Po týždňoch horúčav ich však čaká nepríjemné prekvapenie
- Dojazd 1 660 km a smiešna cena: Nová vlajková loď BYD vyráža dych
- Najlepšie sci-fi 2026 práve pribudlo online aj s dabingom. Dá sa pozrieť úplne zadarmo
- Netflix vytiahne svoje najväčšie eso. TOP 10 nových filmov a seriálov v júli
- Dva týždne a príde veľkoleposť. Film roka sa ukazuje vo finálnom traileri
-
- Slováci vo veľkom zapínajú klimatizácie. Po týždňoch horúčav ich však čaká nepríjemné prekvapenie
- Dojazd 1 660 km a smiešna cena: Nová vlajková loď BYD vyráža dych
- Netflix vytiahne svoje najväčšie eso. TOP 10 nových filmov a seriálov v júli
- Veľký operátor na Slovensku končí a dnes ruší všetky pobočky. Náhrada sľubuje viac výhod
- Zálohovanie fliaš by mohlo skončiť. Vedci našli oveľa lepšie využitie plastov, ktoré pomôže ekonomike
-
- Počasie odhalilo achillovú pätu moderných domov. Ľudia riešia ťažkú dilemu
- Veľký operátor na Slovensku končí a dnes ruší všetky pobočky. Náhrada sľubuje viac výhod
- Zálohovanie fliaš by mohlo skončiť. Vedci našli oveľa lepšie využitie plastov, ktoré pomôže ekonomike
- Cesta z plastu znela ako ekologická katastrofa. Po 11 mesiacoch však prišli prekvapivé výsledky
- Slováci vo veľkom zapínajú klimatizácie. Po týždňoch horúčav ich však čaká nepríjemné prekvapenie
Google definitívne prehral. EÚ potvrdila rekordnú pokutu za Android
Čínska automobilka mieri vysoko. Do roku 2030 chce ovládnuť až 5 % európskeho trhu
Ázijský tiger spúšťa veľkú investíciu. Do výroby čipov naleje viac než 500 miliárd dolárov
Holandsko úplne zmenilo svojich dodávateľov energií. Rusov nahradilo USA, dovoz prudko stúpol
Európa zrýchľuje budovanie obrovských batérií. Podporí projekty, ktoré majú stabilizovať elektrické siete
Poľsko masívne posilní dovoz plynu. Chystá niečo, čo pomôže celej strednej Európe
Slováci si rýchlo zvykli na nový spôsob platenia. Štátne platby prekonali 5 miliónov eur
NAJČÍTANEJŠIE ZO STARTITUP

Nové pravidlá na slovenských kúpaliskách: Vstupné 20 eur pre „cezpoľných“, inde ťa už ani nepustia
PREMIUMJediný Čechoslovák s výcvikom Navy SEALs: To, čo som videl v Afganistane pri ženách, bolo kruté

MIMORIADNE: V Rimavskej Sobote vybuchol stánok s langošmi. Ľudia ušli v poslednej sekunde

MIMORIADNE Tragédia na východe Slovenska: V rieke našli telo muža, polícia vyšetruje okolnosti smrti

