Útočník získal dôverné informácie o 130-tisíc pacientoch bez použitia autentifikácie či špeciálnych hackerských zručností. K dispozícii nepovolaným osobám tak môžu byť súkromné údaje aj o 1 600 pozitívnych pacientoch.
V stredu na Slovensku pribudlo 161 ľudí, ktorým testy potvrdili prítomnosť koronavírusu v tele. Celkovo otestovali zdravotníci počas dňa vyše 4 000 osôb. Citlivé osobné údaje týchto ľudí, ako sú rodné číslo, dátum narodenia, mobilné číslo, výsledky testu či symptómy ochorenia, sa však mohli dostať do nesprávnych rúk. Na kritickú zraniteľnosť aplikácie Moje ezdravie, ktorou sa väčšina Slovákov prihlasuje na vykonanie koronatestu, upozornila bezpečnostná IT spoločnosť Nethemba demonštratívnym únikom dát.
Firma etických hackerov získala z aplikácie osobné informácie o viac ako 130 000 pacientoch, ktorí boli na Slovensku testovaní na COVID-19. Výkonný riaditeľ spoločnosti Pavol Lupták zdôraznil, že chyba umožňovala získať informácie o všetkých viac ako 390 000 pacientoch v databáze.
„Keďže sme etická firma a nasledujeme etické zásady, tak tieto informácie o pacientoch určite nechceme a neplánujeme zverejniť,“ povedal Lupták pre Týždeň s tým, že to mohol spraviť niekto iný už pred nimi, keďže chyba v aplikácii bola pravdepodobne niekoľko mesiacov. „Ak štát nedokáže ochrániť osobné informácie o všetkých ľuďoch testovaných na COVID-19, prečo si myslíme, že dokáže ochrániť citlivé lokalizačné údaje, ktoré dokáže získať od mobilných operátorov?“ dodal.
Čakali na opravu
Problém pred zverejnením najskôr nahlásili v nedeľu 13. septembra vládnej kyberbezpečnostnej jednotke CSIRT.sk. „K oprave uvedenej zraniteľnosti došlo 16. septembra zhruba medzi 16.30 - 16.50 hod. Až po oprave tejto zraniteľnosti sme sa rozhodli uvedenú zraniteľnosť publikovať,“ ozrejmila spoločnosť. Dodala, že útočník dokázal k údajom všetkých pacientov pristúpiť bez akejkoľvek autentifikácie a špeciálnych technických znalostí.
Podľa advokáta Petra Kováča ide v tomto prípade o porušenie ochrany osobných údajov a Národné centrum zdravotníckych informácií ho musí oznámiť Úradu na ochranu osobných údajov. „Notifikovať treba aj dotknuté osoby. Vzhľadom na to, že únik údajov sa týka státisícov fyzických osôb, by ich informovanie vyžadovalo neprimerané úsilie,“ ozrejmil advokát.
Ministerstvo zdravotníctva tvrdí, že NCZI, ktoré zodpovedá za aplikáciu, prijalo všetky potrebné bezpečnostné opatrenia a situáciu preveruje. „Únik tak citlivých informácií, ako sú dáta o zdravotnom stave, sa nesmie stať. V prípade, ak sa preukáže, že išlo o kybernetický bezpečnostný incident a porušenie ochrany osobných údajov, vedenie ministerstva zdravotníctva vyvodí voči kompetentným príslušnú zodpovednosť,“ dodali z rezortu.
Čo všetko môžu mať hackeri
- meno, priezvisko
- rodné číslo, dátum narodenia
- pohlavie, mobilné číslo
- miesto pobytu či e-mail (dokážu byť zneužité na sofistikované cielené útoky sociálneho inžinierstva (phishing, vishing a iné)
- využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názvu laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené „scam“ útoky.