Etickým hekerom z IT firmy Nethemba sa podarilo nabúrať do databázy štátnej mobilnej aplikácie Moje eZdravie. Mohli tak získať prístup k množstvu citlivých údajov o všetkých testovaných na koronavírus – vyše 391 tisícoch občanoch Slovenska.
Školácke chyby
Národné centrum zdravotníckych informácií (NCZI) odporúčalo mobilnú aplikáciu Moje eZdravie už počas prvej vlny pandémie koronavírusu. Je v nej možné nájsť všetky aktuálne informácie a nariadenia vlády v boji proti COVID-19 a taktiež sa prihlásiť na otestovanie.
Vývojári začali na aplikácii pracovať ešte pred pandémiou, no kvôli korone proces urýchlili, čo mohlo viesť k viacerým identifikovaným chybám.
Podľa firmy Nethemba nebol prístup k údajom a API volaniam vôbec autentifikovaný, samotné údaje boli vo forme plaintextu bez akéhokoľvek šifrovania a program neobsahoval žiadne mechanizmy na zabránenie masívnemu sťahovaniu údajov.
Technici z Nethemby simulovali útok, v ktorom sa pomocou triviálneho scriptu, bez špeciálneho postupu na využitie zraniteľností, dostali k osobným údajom 130 tisíc občanov, čo predstavuje tretinu celkovej evidencie.
#!/bin/bash for (( i=8966; i < 391000; i++ )); do wget https://mojeezdravie.nczisk.sk/api/cntnt.dnld.php/$i done
Lietajú údaje vo vzduchu?
Prelomená databáza zahŕňala základné údaje ako meno a priezvisko, adresu, dátum narodenia, rodné číslo, ale aj príznaky pacientov. Okrem osobných údajov pacientov experti získali prístup aj k výsledkom ich testov a informáciám o zdravotných poisťovniach či laboratóriách.
Podľa spoločnosti Nethemba bola bezpečnostná chyba opravená do troch dní od oznámenia národnému CSIRTu.
To však neznamená, že osobné údaje pacientov sú v bezpečí. „Dá sa predpokladať, že sme neboli prví a že tie údaje už pred nami niekto stiahol,“ pripustil pre DenníkN Pavol Lupták, riaditeľ firmy. „Treba počítať s tým, že informácie unikli.“
Štát plánuje vyvodiť dôsledky
NCZI sa v medializovaným informáciám vyjadrilo iba skromne: „Interne prešetrujeme okolnosti medializovaného bezpečnostného incidentu, ktorý údajne umožnil získať etickým hackerom osobné údaje ľudí testovaných na Covid-19 z aplikácie Moje eZdravie,“ zverejnil jeho reakciu Živé.sk.
Riaditeľ Národného bezpečnostného úradu (NBÚ) podľa portálu v reakcii na incident nariadil vykonať audit kyberbezpečnosti v NCZI.
Vývojárska chyba znepokojila aj saotný rezort zdravotníctva: „Ak sa preukáže, že išlo o kybernetický bezpečnostný incident a porušenie ochrany osobných údajov, vedenie ministerstva zdravotníctva vyvodí voči kompetentným príslušnú zodpovednosť,“ uviedla hovorkyňa Zuzana Eliášová.
Úrad na ochranu osobných údajov (ÚOOÚ) stihol vydať k incidentu verejné stanovisko: „Úrad v súčasnosti analyzuje medializované informácie týkajúce sa aplikácie Moje eZdravie. Nadväzne podnikne kroky v zmysle všeobecného nariadenia o ochrane osobných údajov a zákona o ochrane osobných údajov. O situácii bude úrad informovať prostredníctvom svojho webového sídla.“
Medzery štátnych aplikácií
Nejde však o prvú odhalenú triviálnu chybu v aplikácii, ktorú štát počas pandémie sprevádzkoval. Aplikácia Zostanzdravy, ktorú vláda prebrala a masívne propagovala ako prvú, mala pôvodne slúžiť na dohľadávanie kontaktov pozitívne testovaných ľudí.
Aplikácia však odosielala na server všetky kontakty osôb, ktoré si ju nainštalovali a v počiatkoch dokonca ešte aj ich polohu.
S aplikáciou pre tzv. smart karanténu eKaranténa bolo totkiež spojených viacero závažných chýb, a to v iOs aj Android verzii.
Kontrola tváre je možné jednoducho oklamať pomocou fotografie, osoba používajúca zahraničné číslo si zo začiatku nebola schopná toto číslo zaregistrovať, verzia pre Android umožňovala jej používateľom obísť karanténu a pohybovať sa mimo izolácie bez vedomosti úradov.
Michael Andruch, Kristína Urabanová