Údaje až 390-tisíc Slovákov testovaných na koronu si mohol stiahnuť ktokoľvek, štát nechránil dáta

Aktualizované o vyjadrenie NCZI

Stačilo pár riadkov úplne jednoduchého kódu a útočníci mohli vidieť, kto a kedy sa bol dať otestovať na koronavírus. Okrem toho mohli vidieť jeho výsledok testu, príznaky, ale aj adresu a telefónne číslo. Upozornili na to etickí hackeri zo spoločnosti Nethemba, ktorým sa podarilo do databázy nabúrať. Dodávajú tiež, že bezpečnostná diera je už opravená.

Mená, adresy, diagnózy

Údaje neboli zverejnené na voľne dostupných stránkach aplikácie Moje eZdravie, no dalo sa k nim dostať veľmi jednoducho. Experti našli v databáze aj údaje o testoch staré aj niekoľko mesiacov. Je dokonca možné, že etickí hackeri neboli prví, kto sa k údajom dostal a nie je vylúčené, že sa k citlivým dátam už niekto dostal. Oslovili sme aj Národné centrum zdravotníckych informácií, ktoré aplikáciu prevádzkuje. Zatiaľ sa k situácii nevyjadrili, správu budeme aktualizovať.

NCZI priamo v aplikácii Moje eZdravie upozorňuje na únik dát. „Národné centrum zdravotníckych informácií interne prešetruje okolnosti medializovaného bezpečnostného incidentu, ktorý údajne umožnil etickým hackrom získať osobné údaje ľudí testovaných na COVID-19 z aplikácie „Moje eZdravie““.

NCZI zároveň upozorňuje, že incident sa netýka mobilnej aplikácie eZdravie, ale databázy s užívateľským rozhraním v internetovom prehliadači.

„V aplikácii Moje eZdravie sme identifikovali triviálnu zraniteľnosť, ktorá nám umožnila získať osobné informácie o viac ako 390 000 pacientoch, ktorí boli na Slovensku testovaní na COVID-19 (na demonštráciu sa nám podarilo získať osobné informácie o viac ako 130 000 pacientoch, z toho viac ako 1600 COVID-19 pozitívnych),“ uvádzajú špecialisti z Nethemba.

V stredu pribudlo na Slovensku 161 nových prípadov koronavírusu, vyžiadal si už 39 obetí

Primitívna chyba

Z databázy sa dozvedeli o testovanom človeku úplne všetko. Od jeho príznakov cez dátum a miesto odberu, kód vzorky až po výsledok jeho testu. Plus osobné údaje, ktoré sú chránené zákonom.

Zraniteľnosť spočívala vo formáte API, cez ktorý sa útočníci mohli nerušene dostať k údajom. Tie boli navyše nešifrované, takže si ich mohol prečítať ktokoľvek. Na získanie všetkých dát bol potrebný jednoduchý skript, ktorý by dokázal napísať aj niekto, kto nemá špeciálne znalosti.

Špecialisti sa rozhodli zverejniť chybu až po tom, čo ju nahlásili príslušným orgánom a tie ju následne opravili. Dáta však boli týmto spôsobom dostupné až do stredy 16. septembra. Ak by sa k dátam dostal podvodník, spôsobil by veľké škody.

„Uniknuté informácie ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email dokážu byť zneužité na sofistikované cielené útoky sociálneho inžinierstva (phishing, vishing a iné). Využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názvu laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené „scam“ útoky,“ upozorňujú experti.

NCZI má problém s bezpečnosťou

Nie je to prvý raz, čo má Moje eZdravie problém s bezpečnosťou. 30. marca „unikla“ mapa pozitívne testovaných aj s ulicou, kde dotyčný býva. Premiér Igor Matovič vtedy uviedol, že nešlo o žiadny únik, keďže neboli zverejnené osobné údaje. Mapa zobrazovala pohlavie, vek a adresu pozitívne testovaného človeka. Mapu takmer hneď stiahli.

Nie je to prvý raz, čo NCZI zverejnilo dáta, ktoré neskôr stiahlo. Aj 17. marca zverejnil web NCZI ráno informáciu, že počet pozitívne testovaných sa zvýšil na 78. Oficiálny údaj však bol, že pozitívnych je 72 a spomínaný web neskôr informáciu stiahol. Podľa našich zdrojov bola informácia o počte pozitívnych vzoriek v tom čase správna, centrum ju však omylom zverejnilo skôr, ako malo.