Nie je to prvýkrát, čo štát nechránil údaje tak, ako by mal! Pomocou jednoduchého kódu ste sa mohli s ľahkosťou dostať k informáciám až 390 tisíc testovaných Slovákov. Ako mohlo k tak primitívnej chybe dôjsť?

Etickí hackeri sa pomocou jednoduchého kódu dostali do aplikácie Moje eZdravie, ktorá obsahovala citlivé údaje testovaných osôb na koronavírus. Aj malé dieťa by prišlo na tak primitívny kód, prostredníctvom, ktorého sa dalo nahliadnuť k tomu, kedy a kto sa bol testovať, aké mal výsledky testov, príznaky, aké má dotyčná osoba telefónne číslo a adresu. Dáta boli takto dostupné až do 16. septembra.

Uniknuté informácie ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email dokážu byť zneužité na sofistikované cielené útoky sociálneho inžinierstva (phishing, vishing a iné). Využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názvu laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené „scam“ útoky,“ informujú experti.

Na únik dát informovalo Národné centrum zdravotníckych informácií priamo v už spomínanej aplikácií: „Národné centrum zdravotníckych informácií interne prešetruje okolnosti medializovaného bezpečnostného incidentu, ktorý údajne umožnil etickým hackrom získať osobné údaje ľudí testovaných na COVID-19 z aplikácie „Moje eZdravie,”  NCZI ďalej informuje o tom, že incident sa údajne netýka mobilnej aplikácie, ale databázy s užívateľským rozhraním v internetovom prehliadači.

V aplikácii Moje eZdravie sme identifikovali triviálnu zraniteľnosť, ktorá nám umožnila získať osobné informácie o viac ako 390 000 pacientoch, ktorí boli na Slovensku testovaní na COVID-19 (na demonštráciu sa nám podarilo získať osobné informácie o viac ako 130 000 pacientoch, z toho viac ako 1600 COVID-19 pozitívnych),“ informujú odborníci z Nethemba

Zdroj: Startitup.sk