Z dôvodu kritickej zraniteľnosti v aplikácii Moje eZdravie boli niekoľko mesiacov cez nezabezpečené API prístupné osobné údaje všetkých testovaných na Covid-19. Medzi evidované osobné údaje patrili napr. meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email.
Podľa spoločnosti Nethemba, ktorá na problém upozornila, zneužitie chyby nebolo vôbec zložité. Aj vďaka chýbajúcej autentifikácii a inkrementálneho identifikátora, na získanie kompletnej databázy vystačil príkaz wget spúšťaný v cykle so správnym url a indexom až do získania všetkých záznamov.
Chyba bola nahlásená príslušným štátnym orgánom 13. septembra a opravená bola 16. septembra. K zverejneniu zraniteľnosti prišlo až potom. Či sa k údajom dostal neoprávnene okrem spoločnosti Nethemba aj niekto iný je zatiaľ predmetom skúmania.
Incident prišiel v čase keď na základe novo prijatého zákona štát povoľuje hromadné sledovanie občanov vracajúcich sa zo zahraničia pomocou mobilných telefónov. Preto je na mieste aj otázka ako sa zo získanými údajmi bude nakladať.
Zdroj: Nethemba.com
