Redakcia Nový Čas

Cez drobné chyby donedávna prítomné v štátnych informačných systémoch sa k nemu mohol dostať prakticky ktokoľvek, pre koho informačné technológie nie sú španielskou dedinou. Na diery v systéme upozornili etickí hekeri a na základe ich podnetu ich už štátne inštitúcie odstránili. Sme teraz dostatočne chránení, alebo sa môže podobná situácia opakovať?

Osobné dáta miliónov Slovákov, ktorí sa registrovali v systéme eHranica, boli dlhé týždne voľne k nahliadnutiu komukoľvek so znalosťou informačných technológií a dostatkom času na experimentovanie. Ako v pondelok pre portál <a href="https://zive.aktuality.sk/clanok/5w4np4g/v-ehranici-bola-vazna-chyba-hackeri-vedeli-poslat-cloveka-do-karanteny-aj-ziskat-akykolvek-vakcinacny-preukaz/" target="_blank">Živé</a> upozornil etický heker Pavol Lupták, pomocou niekoľkých jednoduchých operácií sa dokázal poľahky dostať k COVID-19 PASSU akejkoľvek osoby. Na rozdiel od neho mohli tento systém mnohí iní ľudia dlho zneužívať.

Ako sa dalo do systému preniknúť? Lupták tvrdí, že sa mu na zraniteľnosť eHranice podarilo prísť úplne náhodou. „Cestoval som z Kyjeva do Bratislavy a pri vypĺňaní formulára som zadal iné kontaktné údaje,“ cituje ho portál Živé.

Až následne zistil, že keď ako kontaktné údaje na získanie COVID-19 PASS-u zadá tie, ktoré naposledy uviedol pri vypĺňaní formulára k eHranici, prepošle mu to aj COVID-19 PASS a tiež si dokáže stiahnuť svoj EÚ COVID-19 certifikát. Vtedy mu došlo, že takýmto istým spôsobom dokáže získať COVID-19 PASS akejkoľvek osoby, u ktorej pozná rodné číslo.

Problém s rodnými číslami

Práve v rodnom čísle pritom spočíva veľká časť problému. Viacerí odborníci už dlhšie upozorňujú, že rodné čísla by sa už nemali používať ako „tajný“ identifikátor. Nie je totiž podľa nich veľký problém natipovať a overiť si rodné číslo akejkoľvek osoby, pri ktorej poznáme meno, priezvisko a dátum narodenia. Všetky tieto údaje sa pritom dajú veľmi ľahko nájsť pri známejších osobách na Wikipedii, bežní občania si ich zase radi uvádzajú na sociálnych sieťach.

Lupták nahlásil svoje zistenia štátnym úradom a tie do týždňa väčšinu nedostatkov odstránili. Riziko, že k podobným excesom bude dochádzať aj v budúcnosti v iných kriticky dôležitých systémoch, pramení práve z toho, že ako identifikátor sa v nich používajú rodné čísla. Tie by mal vedieť získať priemerne zdatný odborník obrnený trpezlivosťou systémom pokus - omyl za krátky čas pri každej osobe.

Koho pošleme do karantény?

Šťastím v prípade eHranice je, že nedostatky v systéme odhalili a upozornili na ne práve etickí hekeri, teda ľudia, ktorí sa snažia využívať svoje znalosti počítačových systémov na prospech spoločnosti. Nie je pritom isté, kto doteraz o nedostatkoch vedel a zneužíval ich.

Podľa Luptáka totiž nebol doteraz žiadny problém pohrať sa s údajmi v eHranici a poslať ľubovoľného človeka napríklad do 14-dňovej karantény. Potenciálni útočníci tiež až donedávna mohli v registrácii do eHranice vedenej na ľubovoľnú osobu zameniť kontaktné údaje za svoje. Od toho momentu informácie zo systému Národného centra zdravotníckych informácií (NCZI) chodili im, a nie osobe, na ktorú bola táto registrácia v skutočnosti vedená.

Ako to bolo možné? „Pokiaľ si otvoríte formulár eHranica a zadáte tam meno cudzej osoby a jej rodné číslo, potom vlastné telefónne číslo a e-mail, tak na zadaný e-mail automaticky príde COVID-19 PASS,“ opísal Lupták už medzičasom odstránené nedostatky systému.

Etickí hekeri si takýmto spôsobom stiahli aj dáta viacerých vysokopostavených slovenských politikov. Zverejňovať ich neplánujú. „Máme ich však v pláne poskytnúť na demonštráciu NCZI alebo štátu, ak by o závažnosti našich zraniteľností akokoľvek pochybovali,“ uvádza Lupták.

Bezpečnosť je im ľahostajná

Ten portál nebol očividne dobre zabezpečený pred tým, ako bol nasadený do praxe. To, na čo sme prišli, bolo pri bežnom používaní aplikácie. My sme sa na aplikáciu nijako hlbšie nepozreli a jednoducho sme na to narazili pri bežnej registrácii. Chyba je v tom, že štátu je ľahostajná bezpečnosť. Naše odporúčanie bolo eHranicu zrušiť. Iné štáty eHranicu nemajú a je veľmi rizikové zbierať plošne informácie o Slovákoch a najmä vtedy, keď to vedie k úniku informácií.

Je to veľmi nešťastné

-Je to, samozrejme , smutné a  obzvlášť vtedy, keď štát je v  situácii, keď garantuje, že občanov chráni, ale pritom zlyháva s tým, že do budúcna sa bezpečnosť zlepší a stále to nie je úplne dobré. Je to mrzuté z toho pohľadu, že pre občanov je povinné dávať im údaje a oni si následne neplnia povinnosť v  dostatočnej ochrane. Na druhej strane nie je úplne jednoduché to zabezpečiť. Z toho hľadiska, že štát si nesplnil svoju povinnosť, je to však nešťastné.

Hekeri prelomili eHranicu: Dokázali získať informácie o vakcinačných preukazoch!

Vyberáme pre Vás niečo viac

Brownie s jahodami: Elegantné spojenie horkej čokolády a sladkého ovocia!

Ako účelne zariadiť jednoizbový byt? Tipy, ktoré fungujú

Mali by ste prihnojiť zeleninu, ale strácate sa v tom? Odborníčka radí, ako hnojiť bez omylov

Test I Hyundai Inster v jeho základnej verzii Comfort

Umenie má v krvi: Spevák David Árva doma skombinoval staré s moderným

Ako oklamať osy: Lacný TRIK, vďaka ktorému si budú myslieť, že neexistuješ! A nielen to

10 najdivnejších pretekárskych áut, aké kedy vznikli

Jedlo spája rodinu: Katka Koščová si so svojou maminou dopriali prekvapivé dobroty!