Všetky články, ktoré informujú o mimoriadnych opatreniach a základných zdravotníckych informáciách o novom koronavíruse, budú na SME.sk odomknuté a prístupné pre každého. Považujeme to totiž za verejný záujem. Ak chcete podporiť novinárov a serióznu i overenú žurnalistiku, môžete tak urobiť kúpou predplatného →
BRATISLAVA. Slovenská bezpečnostná IT spoločnosť Nethemba upozornila na kritickú zraniteľnosť v aplikácii Moje ezdravie, na základe ktorej získala osobné informácie o viac ako 130-tisíc pacientoch, ktorí boli v Slovenskej republike testovaní na COVID-19. Ohrozené boli dáta 390-tisíc pacientov.
Okrem iného získala ich rodné čísla aj výsledky testov.
TASR to potvrdil výkonný riaditeľ spoločnosti Pavol Lupták s tým, že chyba umožňovala získať informácie o všetkých pacientoch v databáze.
Bez overenia a bez šifry
Informáciu odborníci z Nethemby zverejnili až po tom, čo na zraniteľnosť upozornili úrady, ktoré ju v stredu 16. septembra aj opravili.
Chyba umožňovala prístup k citlivým informáciám bez akéhokoľvek overenia. Všetky údaje pritom boli v nešifrovanej, teda nezabezpečenej podobe.
"Získať tie údaje bolo tak ľahké, že by bolo ťažké urobiť to ešte ľahším," povedal denníku SME Tomáš Zaťko, expert na informačnú bezpečnosť zo spoločnosti Citadelo.
"Nebola tam žiadna ochrana, laicky povedané systému prišla žiadosť "daj mi údaje" a systém povedal "nech sa páči"."
Odborníci taktiež upozorňujú, že v aplikácii nebol žiaden mechanizmus, ktorý by bránil hromadnému sťahovaniu údajov.
"Uniknuté informácie ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email dokážu byť zneužité na sofistikované cielené útoky sociálneho inžinierstva (phishing, vishing a iné). Využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názve laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené ,scam' útoky," upozornila Nethemba.
Zaťko si myslí, že teraz sa istotne na systém pozerá niekoľko neetických hekerov, ktorí sa naň budú snažiť útočiť. "Preto treba systém otestovať aj na iné diery a tie expresne zaplátať," myslí si.
Etickí hekeri sú odborníci, ktorí napádajú informačné systémy, aby tak otestovali ich bezpečnosť. Tak pracuje aj Nethemba, aj Citadelo. Odhaľujú ich zraniteľnosť ešte pred prípadným útokom neetických hekerov, ktorí získané informácie využívajú na nelegálne ciele.
Porušenie ochrany osobných údajov
Podľa advokáta ide v tomto prípade o kybernetický bezpečnostný incident aj porušenie ochrany osobných údajov. Ozrejmil, že porušenie ich ochrany musí Národné centrum zdravotníckych informácií oznámiť Úradu na ochranu osobných údajov.
"Notifikovať treba aj dotknuté osoby. Vzhľadom na to, že únik údajov sa týka státisícov fyzických osôb, by ich informovanie vyžadovalo neprimerané úsilie. V takom prípade treba informovať verejnosť alebo prijať podobné opatrenie, aby dotknuté osoby boli informované," vysvetlil pre TASR Peter Kováč z advokátskej kancelárie Kinstellar.
Vzhľadom na počet dotknutých osôb predpokladá udelenie vysokej pokuty.
Všetko o koronavíruse a ochorení Covid-19
- Sledujte priebeh pandémie koronavírusu minútu po minúte
- Vývoj počtu nakazených a mapa šírenia koronavírusu na Slovensku
- 25 otázok a odpovedí o novom koronavíruse
- Ako postupovať, ak ste sa mohli nakaziť?
