Bratislava 16. augusta 2021 AKTUALIZOVANÉ (HSP/SITA/Foto:Screenshot korona.gov.sk/ehranica, Pixabay)
Štátne orgány sa zase raz vyfarbili. Tí, ktorým by malo najviac záležať na ochrane citlivých údajov občanov, si opäť raz nedali pozor. Po problémoch s aplikáciou Moje eZdravie na začiatku druhej vlny pandémie, sa do problémov dostal aj systém eHranica. Upozornili na to etickí hackeri zo Slovenskej bezpečnostnej IT spoločnosti Nethemba
Hackeri našli v systéme Národného centra zdravotníckych informácií dve vážne trhliny. Vďaka nim sa vedeli dostať nie len k rodným číslam používateľov aplikácie, ale aj k informáciám v ich covid pasoch, prípadne v nich prepísať údaje a stiahnuť si na základe toho svoj vlastný covid pas. Informoval o tom portál zive.aktuality.sk.
Prvým problémom bola možnosť jednoduchým spôsobom overiť si rodné číslo akejkoľvek osoby. Stačilo im k tomu k tomu meno, priezvisko a dátum narodenia, čo je v podstate údaj bežne dostupný aj na sociálnej sieti.
Vytvorili si množinu možných rodných čísel a už stačilo len skúšať.
„Keďže rodné číslo musí byť deliteľné číslom 11, pre každý dátum narodenia existuje maximálne 910 rodných čísel,“ vysvetľuje reálnosť zneužitia Nethemba.
V prípade neplatnej kombinácie sa informácie nevygenerovali. Ak však kombináciu trafili, ukázali sa im všetky potrebné údaje. Chybu podľa hackerov spôsobil nefunkčný systém CAPTCHA, ktorý umožňoval opakované zadávanie údajov.
Ľahko napadnuteľná eHranica
Druhý vážny problém súvisel so systémom eHranica. Do nej sa registrujú všetky osoby, ktoré sa vracajú zo zahraničia na Slovensko.
Chyba úzko súvisela s prepojením eHranice na údaje v Národnom centre zdravotníckych informácií (NCZI) a opäť na ňu upozornili etickí hackeri z Nethemby.
Keď sa registrujete do systému eHranica, vypĺňate množstvo údajov. Tie sa spárujú s údajmi v NCZI, ktoré ste vypĺňali pri žiadosti o očkovanie alebo pri testovaní. Tie informácie, ktoré nesedia s pôvodne uvedenými údajmi, systém jednoducho prepíše. Ide napríklad o také údaje ako telefónne číslo alebo email. Navyše, systém vás na zmenu nijak neupozorní. Ktokoľvek teda mohol zmeniť kontaktné údaje a všetky upozornenia, výsledky testov a podobne dostávať na svoje telefónne číslo či mail, a vôbec by ste sa o tom nedozvedeli. Takýmto spôsobom sa hackeri vedeli dostať aj k vášmu covid pasu.
„Pokiaľ si otvoríte formulár eHranica a zadáte tam meno cudzej osoby a jej rodné číslo, potom vlastné telefónne číslo a e-mail, tak na zadaný e-mail automaticky príde COVID-19-PASS,“ vysvetlil najväčší problém Lupták.
Po získaní všetkých týchto informácií vrátane covid pasu sa útočníci vedeli dostať aj k európskemu digitálnemu covid preukazu. V praxi to znamená toľko, že ktokoľvek zručný v IT sa vedel dostať k všetkým údajom súvisiacim s vašim očkovaním, prekonaním ochorenia, či stiahnuť si do mobilu GreenPass na základe vašich údajov.
Opakovaný problém
Aj na prvý problém upozornila zo septembra minulého roku upozornili hackeri z bezpečnostnej spoločnosti Nethemba. Zo systému Moje eZdravie, ktorý opäť prevádzkovalo NCZI, unikli citlivé informácie približne 130 000 užívateľov. Ohrozených bolo ale omnoho viac občanov.
Prelomená databáza vtedy umožnila získať údaje o mene, priezvisku, rodnom čísle, dátume narodenia, pohlaví, mobilnom čísle, mieste pobytu či emaily poškodených osôb. Zároveň už vtedy upozorňovali, že do systému bolo možné sa dostať bez akejkoľvek autentifikácie a špeciálnych technických znalostí. Rovnako ako teraz pri systéme eHranica, aj pred rokom boli problémom mechanizmy, ktoré by znemožňovali masívne sťahovanie údajov, a všetky dáta boli v nešifrovanej, teda nezabezpečenej forme.
Využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názve laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené ,scam‘ útoky,“ upozornňovala už pred rokom Nethemba.
Vzhľadom na obrovský rozsah potenciálneho zneužitia a tiež na to, že ide už opakovaný problém v systéme NCZI, Lupták navrhuje prevádzku aplikácie eHranica úplne ukončiť.
Stanovisko Národného centra zdravotníckych informácií
Národné centrum zdravotníckych informácií zásadne nesúhlasí s tvrdením, že nebolo schopné ochrániť dáta občanov. „Spoločnosť Nethemba poukazuje na zraniteľnosť systému eHranica. Interpretácia postupov pri zmenách údajov v systémoch NCZI však nie je správna,” konštatuje úrad.
Upozorňuje, že firma odcudzila Úradu pre dohľad nad zdravotnou starostlivosťou rodné čísla a následne zneužila NCZI ako inštitúciu, keď prostredníctvom jej aplikácie zmenila kontaktné údaje občanov, čím sa dostala k jednoznačnému identifikátoru Covid-19-Pass a následne k Digital Covid preukazom.
Nethemba podľa úradu dvakrát porušila zákon o ochrane osobných údajov. „NCZI nahlásilo v pondelok 2. augusta 2021 Národnému bezpečnostnému úradu zraniteľnosť svojho systému. V súvislosti s tým NCZI zablokovalo možnosť prepisovania kontaktných údajov vo formulári eHranica, čím sa znížil komfort pre občanov. Následne 3. augusta 2021 nahlásilo incident bezpečnostného zneužitia a podniklo vo veci trestno-právne kroky. Viac informácií v súvislosti s prebiehajúcim vyšetrovaním nemôžeme poskytnúť,” uzavrela hovorkyňa úradu Alžbeta Sivá.
0.0°C
.jpg)
