IT odborník Ondrej Macko si myslí, že hackeri môžu ukradnúť aj zdravotné záznamy zo systému ezdravie. Pre SITA.sk tak reagoval na medializované infomácie o úniku citlivých údajov o Slovákoch testovaných na COVID-19 z aplikácie Moje ezdravie.
Bezpečnostná IT spoločnosť Nethemba získala pri skúške bezpečnosti systému osobné informácie o viac ako 390 000 pacientoch. Podľa Macka sa tomu dalo zabrániť. Ako vysvetlil, problém bol v tom, že na čítanie údajov nebolo potrebné žiadnu autentifikáciu, čo je podľa neho „pozoruhodné“.
Viac o téme: Koronavírus
„Myslím si, že zlyhanie bolo na strane zadávateľa projektu, ktorý nežiadal zabráneniu neautorizovanému prístupu. Zodpovednosť je na strane tohto, kto zadal návrh systému bez autorizácie. V prípade, že tam takáto požiadavka bola (mala byť), potom toho, kto riešenie bez overenia prebral,“ povedal Macko pre Webnoviny.sk.
Podľa neho by sa teda takýmto útokom zabránilo, ak by pri požiadavke na masové čítanie údajov z databázy bolo overenie povolenia takejto činnosti. Na otázku, či je možné, že sa hackeri môžu dostať aj k zdravotným záznamom, ktoré sa zadávajú do ezdravia povedal, že na základe tejto skúsenosti si myslí, že áno.
Dostali sa k rodným aj telefónnym číslam
Informatici z Nethemba poukázali na nízke zabezpečenie osobných údajov o testovaných osobách na COVID-19 v aplikácii Moje ezdravie, ktorá spadá pod Národné centrum zdravotníckych informácií (NCZI).
Z aplikácie Moje eZdravie mali uniknúť citlivé údaje o Slovákoch testovaných na COVID-19
Spoločnosť zistenia zverejnila až po oprave zraniteľnosti. „V aplikácii Moje ezdravie sme identifikovali triviálnu zraniteľnosť, ktorá nám umožnila získať osobné informácie o viac ako 390 000 pacientoch, ktorí boli na Slovensku testovaní na COVID-19 (na demonštráciu sa nám podarilo získať osobné informácie o viac ako 130 000 pacientoch, z toho viac ako 1 600 COVID-19 pozitívnych),“ uviedla na svojej stránke.
Informatikom sa podarilo získať mená, priezviská, rodné čísla, dátumy narodenia a dokonca aj miesta pobytu a telefónne čísla ľudí, ktorí na Slovensku podstúpili testovanie na koronavírus.
Takisto sa ľahko dostali k informáciám o príznakoch, ktorými trpeli pozitívne testované osoby. Získali tiež prístup k údajom, kde a kedy sa dal človek otestovať a aký bol výsledok jeho testu.
NCZI incident prešetruje
NCZI na zverejnené informácie reagovala, že interne prešetruje okolnosti bezpečnostného incidentu, ktorý umožnil získať etickým hackerom osobné údaje ľudí testovaných na COVID-19 z aplikácie Moje ezdravie.
„Dočasná aplikácia ‚Moje ezdravie‛ je úplne nezávislá od systému elektronického zdravotníctva ‚ezdravie‛, ktorého bezpečnosť nie je nijako spochybnená a nesúvisí s týmto prípadom,“ uviedla k prípadu hovorkyňa NCZI Veronika Beňadiková.