ŠTÁT OPÄŤ ZLYHAL! DATABÁZU TESTOVANÝCH MOHOL KTOKOĽVEK MENIŤ A ZISTIŤ VAŠE RODNÉ ČÍSLO
Počítačový expert objavil veľmi vážnu zraniteľnosť v systéme na testovanie osôb na koronavírus. Kybernetický zločinec by vedel veľmi jednoducho zistiť rodné číslo testovanej osoby a manipulovať s jej celým záznamom.
Zdieľať
Počítačový expert Dušan Priesol objavil veľmi vážnu zraniteľnosť na základe kódu registračného systému Moje eZdravie na testovanie osôb na koronavírus. Veľmi jednoducho sa vraj dalo zistiť rodné číslo testovanej osoby a manipulovať s jej celým záznamom.
Dušan Priesol uverejnil detail o chybe prvýkrát v piatok poobede a neskôr v sobotu pred obedom, štát ju následne v tichosti odstránil. V septembri na podobnú chybu upozornila bezpečnostná firma Nethemba a poukázala na to, že bolo veľmi jednoduché stiahnúť si vyše 400-tisíc záznamov o ľudoch, ktorí test na koronavírus absolvovali.
Na to, aby kybernetický zločinec zneužil osobné údaje testovaných ľudí mu stačilo vedieť iba pár základných údajov. Stačilo mu vedieť meno, dátum narodenia a jedinečný identifikátor občana - COVID-19 pass, ktorý sa používa pri registrácii na test alebo očkovanie. Ten sa v systéme nemení počas celej doby. Problémom je, že internetová služba komukoľvek bez patričných oprávnení odpovedala, či zadávané rodné číslo v kombinácii s ďalšími údajmi je správne alebo nie. A to cez ničím nechránené programátorské API rozhranie – prístupné cez internet pre hocikoho.
Tým pádom mohol hacker hádať rodné čislo nekonečne veľakrát a ak ho trafil, priradil ho k danej osobe.
Ak sa mu podarilo zistiť Covid-19 pass, meno a posledné štyri znaky rodného čísla, mohol modifikovať databázu a to bez akejkoľvek autorizácie. Podľa Priesola sa dal zmeniť celý rad údajov - kontaktné údaje, meno, symptómy ochorenia, miesto karantény a jej obdobie či zdravotnú poisťovňu. Celý záznam sa dal aj jednoducho vymazať. Informáciu priniesol portál Živé.sk.
K situácii sa vyjadril aj Juraj Draxler na svojom Facebooku
Ako keby celé testovanie nebolo dosť choré, vláda dokázala v rámci neho vytvoriť ešte aj veľmi špecifický prúser: databáza testovaných, všetkých v krajine, bola tak zle zabezpečená, že hocikto zvonku, s priemernými hackerskými znalosťami, mohol do nej vojsť a ÚDAJE O TESTOVANÝCH MENIŤ!!!
Upozornil na to portál zive.aktuality.sk a chybu štátna organizácia medzitým v tichosti odstránila.
Zákaz kopírovať texty bez súhlasu Mayer Media,
vydavateľstvo udeľuje povolenie len na použitie odkazu na originálny článok.
DISKUTUJÚCIM: Zapojiť sa do diskusie môžete len po registrácii a prihlásení sa do svojho účtu.
UPOZORNENIE: Vážení diskutujúci, podľa platných zákonov Slovenskej republiky sme povinní na požiadanie orgánov činných v trestnom konaní poskytnúť IP adresu, e-mail, vaše príspevky a pod. v prípade, že tieto príspevky v diskusnom fóre budú porušovať zákon. V tejto súvislosti vás prosíme, aby ste do diskusie na našej stránke nevkladali také komentáre, ktoré by mohli naplniť skutkovú podstatu niektorého z trestných činov uvedených v Trestnom zákone. Medzi také príspevky patria komentáre rasistické, podnecujúce k násiliu alebo nenávisti na základe pohlavia, rasy, farby pleti, jazyka, viery a náboženstva, politického či iného zmýšľania, národného alebo sociálneho pôvodu, príslušnosti k národnosti alebo k etnickej skupine a podobne. Za každý zverejnený príspevok nesie zodpovednosť diskutujúci, nie vydavateľ či prevádzkovateľ Extra plus.