MIMORIADNE! Unikli všetky informácie o 390-tisíc pacientoch testovaných na COVID-19 na Slovensku
Slovenská bezpečnostná IT spoločnosť na svojej stránke Nethemba.com upozornila na triviálnu zraniteľnosť, v aplikácii Moje ezdravie,.
Na blogu informujú že v aplikácii Moje eZdravie identifikovali triviálnu zraniteľnosť, ktorá im umožnila získať osobné informácie o viac ako 390 000 pacientoch, ktorí boli na Slovensku testovaní na COVID-19, na demonštráciu sa im podarilo získať osobné informácie o viac ako 130 000 pacientoch, z toho viac ako 1600 COVID-19 pozitívnych.
,,Medzi získané osobné informácie každého pacienta patrí meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch (pneumónia, teplota, kašeľ, malátnosť, nádcha, bolesť hlavy, bolesť kĺbov a svalov), kód vzorky, dátum presného odberu, laboratórium, ktoré daný test vykonalo, lekár žiadateľ, číslo protokolu, dátum prijatia a vyšetrenia, druhy testu a samozrejme jeho výsledok.”
Popis zraniteľnosti
Zneužitie uvedenej zraniteľnosti vedúce k úniku viac ako štvrť milióna osobných údajov a výsledkov COVID-19 testov slovenských občanoch bolo možné vďaka nasledujúcim faktorom:
- Únik formátu API volaní verejným vyhľadávačom (ktoré ho zaindexovali)
- Umožnenie neautorizovaného prístupu k samotným volaniam API, ktoré umožňovalo prístup k citlivým informáciám a to bez akejkoľvek autentifikácie
- Možnosť získať informácie o všetkých pacientoch jednoduchou enumeráciou číselného identifikátora
- Absencia akýchkoľvek mechanizmov, ktoré by znemožňovali masívne sťahovanie uvedených údajov
- Všetky dáta boli v nešifrovanej, teda úplne nezabezpečenej forme (v „plaintext“)
Výkonný riaditeľ spoločnosti Pavol Lupták informoval, že chyba umožňovala získať informácie o všetkých pacientoch v databáze.
Simulovali útok hackera
Spoločnosť simulovala útok hackera, ktorý by sa chcel k údajom dostať a výsledky sú závažné: ,,Útočník dokázal k uvedeným údajom všetkých pacientov pristúpiť bez akejkoľvek autentifikácie a tiež bez špeciálnych technických znalostí. Skript na získanie údajov o všetkých pacientov v XML formáte je úplne triviálny,“ píšu v blogu.
Na čo sa dajú údaje zneužiť
- Stiahli dostatočne veľkú vzorku náhodných dát a analyzovali, že ide o skutočne unikátne záznamy
- Na základe numerických identifikátorov odhalili minimálne 391250 validných záznamov (podľa https://korona.gov.sk/ je ich momentálne 393486)
- Identifikovali úplne čerstvé záznamy o testovaných pacientoch (pár hodín predtým ako uvedená zraniteľnosť bola opravená)
- Prvý záznam mal identifikátor 8966
- Uniknuté informácie ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email dokážu byť zneužité na sofistikované cielené útoky sociálneho inžinierstva (phishing, vishing a iné). Využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názvu laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené „scam“ útoky.