fbpx
Klocher.sk
Magazín, ktorý tvoríme spolu

MIMORIADNE! Unikli všetky informácie o 390-tisíc pacientoch testovaných na COVID-19 na Slovensku

Slovenská bezpečnostná IT spoločnosť na svojej stránke Nethemba.com upozornila na triviálnu zraniteľnosť, v aplikácii Moje ezdravie,.

Máte tip? napíšte nám mailom

Na blogu informujú že v  aplikácii Moje eZdravie  identifikovali triviálnu zraniteľnosť, ktorá im umožnila získať osobné informácie o viac ako 390 000 pacientoch, ktorí boli na Slovensku testovaní na COVID-19, na demonštráciu sa im podarilo získať osobné informácie o viac ako 130 000 pacientoch, z toho viac ako 1600 COVID-19 pozitívnych.

,,Medzi získané osobné informácie každého pacienta patrí meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch (pneumónia, teplota, kašeľ, malátnosť, nádcha, bolesť hlavy, bolesť kĺbov a svalov), kód vzorky, dátum presného odberu, laboratórium, ktoré daný test vykonalo, lekár žiadateľ, číslo protokolu, dátum prijatia a vyšetrenia, druhy testu a samozrejme jeho výsledok.”

Popis zraniteľnosti

Zneužitie uvedenej zraniteľnosti vedúce k úniku viac ako štvrť milióna osobných údajov a výsledkov COVID-19 testov slovenských občanoch bolo možné vďaka nasledujúcim faktorom:

  • Únik formátu API volaní verejným vyhľadávačom (ktoré ho zaindexovali)
  • Umožnenie neautorizovaného prístupu k samotným volaniam API, ktoré umožňovalo prístup k citlivým informáciám a to bez akejkoľvek autentifikácie
  • Možnosť získať informácie o všetkých pacientoch jednoduchou enumeráciou číselného identifikátora
  • Absencia akýchkoľvek mechanizmov, ktoré by znemožňovali masívne sťahovanie uvedených údajov
  • Všetky dáta boli v nešifrovanej, teda úplne nezabezpečenej forme (v „plaintext“)
Prečítajte si tiež:
Dočasné kontroly na hraniciach SR budú obnovené až do mája

Výkonný riaditeľ spoločnosti Pavol Lupták informoval, že chyba umožňovala získať informácie o všetkých pacientoch v databáze.

Simulovali útok hackera

Spoločnosť simulovala útok hackera, ktorý by sa chcel k údajom dostať a výsledky sú závažné: ,,Útočník dokázal k uvedeným údajom všetkých pacientov pristúpiť bez akejkoľvek autentifikácie a tiež bez špeciálnych technických znalostí. Skript na získanie údajov o všetkých pacientov v XML formáte je úplne triviálny,” píšu v blogu

Na čo sa dajú údaje zneužiť

  • Stiahli dostatočne veľkú vzorku náhodných dát a analyzovali, že ide o skutočne unikátne záznamy
  • Na základe numerických identifikátorov  odhalili minimálne 391250 validných záznamov (podľa https://korona.gov.sk/ je ich momentálne 393486)
  • Identifikovali úplne čerstvé záznamy o testovaných pacientoch (pár hodín predtým ako uvedená zraniteľnosť bola opravená)
  • Prvý záznam mal identifikátor 8966
  • Uniknuté informácie ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email dokážu byť zneužité na sofistikované cielené útoky sociálneho inžinierstva (phishing, vishing a iné). Využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názvu laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené „scam“ útoky.
Prečítajte si tiež:
Manželom sa narodili dvojíčky. Dali im meno Corona a Covid
Snímka obrazovky o
Vyjadril sa aj Michal Truban

 

 

Máte tip? napíšte nám mailom
Zdroj nethemba

Na personalizáciu obsahu, poskytovania služieb sociálnych sietí a analýzy návštevnosti využívame súbory cookie. Používaním webu súhlasíte s používaním cookies a spracovaním súvisiacich osobných údajov. OK Viac informácií