Hlavní navigace

Unikli osobné údaje všetkých testovaných na Covid-19 v SR

Sdílet

psy2 18. 9. 2020
Hacker notebook

Z dôvodu kritickej zraniteľnosti v aplikácii Moje eZdravie boli niekoľko mesiacov cez nezabezpečené API prístupné osobné údaje všetkých testovaných na Covid-19. Medzi evidované osobné údaje patrili napr. meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email.

Podľa spoločnosti Nethemba, ktorá na problém upozornila, zneužitie chyby nebolo vôbec zložité. Aj vďaka chýbajúcej autentifikácii a inkrementálneho identifikátora, na získanie kompletnej databázy vystačil príkaz wget  spúšťaný v cykle so správnym url a indexom až do získania všetkých záznamov.

Chyba bola nahlásená príslušným štátnym orgánom 13. septembra a opravená bola 16. septembra. K zverejneniu zraniteľnosti prišlo až potom. Či sa k údajom dostal neoprávnene okrem spoločnosti Nethemba aj niekto iný je zatiaľ predmetom skúmania.

Incident prišiel v čase keď na základe novo prijatého zákona štát povoľuje hromadné sledovanie občanov vracajúcich sa zo zahraničia pomocou mobilných telefónov. Preto je na mieste aj otázka ako sa zo získanými údajmi bude nakladať.

Zdroj: Nethemba.com

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?