Hekeri prelomili eHranicu: Dokázali získať informácie o vakcinačných preukazoch!

Cez drobné chyby donedávna prítomné v štátnych informačných systémoch sa k nemu mohol dostať prakticky ktokoľvek, pre koho informačné technológie nie sú španielskou dedinou. Na diery v systéme upozornili etickí hekeri a na základe ich podnetu ich už štátne inštitúcie odstránili. Sme teraz dostatočne chránení, alebo sa môže podobná situácia opakovať?

Osobné dáta miliónov Slovákov, ktorí sa registrovali v systéme eHranica, boli dlhé týždne voľne k nahliadnutiu komukoľvek so znalosťou informačných technológií a dostatkom času na experimentovanie. Ako v pondelok pre portál Živé upozornil etický heker Pavol Lupták, pomocou niekoľkých jednoduchých operácií sa dokázal poľahky dostať k COVID-19 PASSU akejkoľvek osoby. Na rozdiel od neho mohli tento systém mnohí iní ľudia dlho zneužívať.

Ako sa dalo do systému preniknúť? Lupták tvrdí, že sa mu na zraniteľnosť eHranice podarilo prísť úplne náhodou. „Cestoval som z Kyjeva do Bratislavy a pri vypĺňaní formulára som zadal iné kontaktné údaje,“ cituje ho portál Živé.

Až následne zistil, že keď ako kontaktné údaje na získanie COVID-19 PASS-u zadá tie, ktoré naposledy uviedol pri vypĺňaní formulára k eHranici, prepošle mu to aj COVID-19 PASS a tiež si dokáže stiahnuť svoj EÚ COVID-19 certifikát. Vtedy mu došlo, že takýmto istým spôsobom dokáže získať COVID-19 PASS akejkoľvek osoby, u ktorej pozná rodné číslo.

Problém s rodnými číslami

Práve v rodnom čísle pritom spočíva veľká časť problému. Viacerí odborníci už dlhšie upozorňujú, že rodné čísla by sa už nemali používať ako „tajný“ identifikátor. Nie je totiž podľa nich veľký problém natipovať a overiť si rodné číslo akejkoľvek osoby, pri ktorej poznáme meno, priezvisko a dátum narodenia. Všetky tieto údaje sa pritom dajú veľmi ľahko nájsť pri známejších osobách na Wikipedii, bežní občania si ich zase radi uvádzajú na sociálnych sieťach.