MojAndroid

Slovenská firma Nethemba, zameraná na IT bezpečnosť, dnes publikovala správu o kritickej chybe, ktorú obsahuje systém Moje eZdravie. O téme informovalo Živé.sk.

Cez vážnu bezpečnostnú chybu je možné získať dáta o každom testovanom na COVID-19. Pre demonštráciu, spomínaná firma stiahla 130 000 osobných údajov o ľuďoch, z ktorých bolo 1600 pozitívne testovaných na koronavírus. Zraniteľnosť spolu so spôsobmi získania údajov následne nahlásili oficiálnym úradom.

Moje eZdravie obsahovalo nechránené dáta

Konkrétne sa takto firma Nethemba dostala k údajom ako sú príznaky, meno a priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, adresa, kód vzorky, dátum odberu, názov laboratória, ktoré test vykonalo a mnohým ďalším.

Ako príčinu vzniku takejto vážnej chyby označuje Nethemba slabé zabezpečovacie postupy. Dáta totiž neboli šifrované, volania API boli prístupné každému bez autentifikácie (aj vyhľadávačom, ktoré ich zaindexovali), dáta sa dali získať z číselného identifikátora a chýbal mechanizmus, ktorý by bránil akémukoľvek stiahnutiu dát.

Nethemba zverejnila aj skript, ktorým sa dali dáta získať vo formáte XML. Samozrejme, celú správu uverejnili na internet až potom, čo boli chyby odstránené, takže ak by ste to náhodou chceli skúsiť, už sa vám to nepodarí.

Ako Nethemba postupovala?

Najprv stiahli dostatočne veľkú vzorku údajov (okolo 130 000) a následne ich analyzovali, pričom zistili, že ide o unikátne záznamy. Na základe identifikátorov odhalili 391250 záznamov, z ktorých boli niektoré prístupné doslova len pár hodín po odbere. Tieto údaje, ak by sa dostali do zlých rúk by mohli byť zneužité na phising, vishing alebo iné podvodné útoky na základe dát o poisťovni, názvu laboratória a podobne.

Na záver Nethemba spomína, že je dôležité sa zamyslieť nad niekoľkými otázkami:

  • Prečo tak citlivé informácie o všetkých COVID-19 testovaných pacientoch musia boli vôbec umiestnené na verejnom Internete?
  • Prečo neboli nijako anonymizované alebo šifrované?
  • Prečo neboli nijako chránené autentifikáciou?
  • Prečo neboli zničené informácie o niekoľko mesiacoch starých záznamoch pacientov?
  • Ak štát nedokáže ochrániť osobné informácie o všetkých testovaných ľuďoch na COVID-19, prečo si myslíme, že dokáže ochrániť citlivé lokalizačné údaje, ktoré dokáže získať od mobilných operátorov?
Náš tip
Aplikácia Superkolky sleduje používateľov, dajte si pozor na jej povolenia
17.9.2020

Pravidlá diskusie

Portál MojAndroid.sk si vyhradzuje právo zmazať neslušné, rasistické a vulgárne príspevky, ako aj osobné útoky na redakciu, či diskutérov v komentároch pod článkom bez ďalšieho upozornenia. V prípade uverejňovania odkazov na externé stránky, je komentár automaticky preposlaný do redakcie na schválenie.

+