Slovenská bezpečnostná IT spoločnosť Nethemba upozornila na kritickú zraniteľnosť v aplikácii Moje ezdravie, na základe ktorej získala osobné informácie o viac ako 130-tisíc pacientoch, ktorí boli u nás testovaní na COVID-1.

Okrem iného spoločnosť získala ich rodné čísla aj výsledky testov. Pre portál topky.sk to potvrdil výkonný riaditeľ spoločnosti Pavol Lupták s tým, že chyba umožňovala získať informácie o všetkých pacientoch v databáze.

Spoločnosť Nethemba o tejto závažnej chybe píše na svojom blogu. „V aplikácii pre občanov Moje ezdravie ľudia jednoduchým a prehľadným spôsobom získajú informácie o aktuálne platných nariadeniach štátu a relevantných inštitúcií,“ povedal o aplikácii ešte v marci 2020 (na začiatku pandémie) generálny riaditeľ NCZI Peter Blaškovitš.

Ohrozených je veľa údajov

V súčasnosti ale prichádza zásadný moment, keď slovenská IT spoločnosť zistila závažné pochybenie v aplikácii. Medzi získané osobné informácie každého pacienta, ktoré sa do aplikácie vkladajú, totiž patrí meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, ale aj informácie o klinických príznakoch (pneumónia, teplota, kašeľ, malátnosť, nádcha, bolesť hlavy, bolesť kĺbov a svalov), kód vzorky, dátum presného odberu, laboratórium, ktoré daný test vykonalo, lekár žiadateľ, číslo protokolu, dátum prijatia a vyšetrenia, druhy testu a samozrejme jeho výsledok.



Spoločnosť na svojom blogu podľa portálu topky.sk uvádza aj spôsoby, akými je aplikácia s týmito citlivými údajmi zraniteľná, pričom v nich uvádzajú odborné výrazy:

• Únik formátu API volaní verejným vyhľadávačom (ktoré ho zaindexovali)


• Umožnenie neautorizovaného prístupu k samotným volaniam API, ktoré dovolilo prístup k citlivým informáciám, a to bez akejkoľvek autentifikácie


• Možnosť získať informácie o všetkých pacientoch jednoduchou enumeráciou číselného identifikátora


• Absencia akýchkoľvek mechanizmov, ktoré by znemožňovali masívne sťahovanie uvedených údajov


• Všetky dáta boli v nešifrovanej, teda úplne nezabezpečenej forme(v „plaintext“)

Chýba akéhokoľvek zakódovanie

Spoločnosť nasimulovala útok hackera, ktorý by sa chcel k údajom dostať, a jej výsledky sú skutočne znepokojivé. „Útočník dokázal pristúpiť k uvedeným údajom všetkých pacientov bez akejkoľvek autentifikácie a tiež bez špeciálnych technických znalostí. Skript na získanie údajov o všetkých pacientov v XML formáte je úplne triviálny,“ popisuje podľa topiek spoločnosť na svojom blogu, pričom uvádza aj kód v spomínanom formáte, ktorý tieto údaje sprístupňuje.

O neserióznosti spracovania portálu sa presvedčil aj samotný portál zopky.sk  keď použil spomínaný kód v kombinácii s webom aplikácie Moje eZdravie. Chybové hlásenie, ktoré je už vlastne opravnou záplatou na vzniknutý problém, je na štátnu inštitúciu skutočne „prekvapivo“ sformulované.

Získať toho možno naozaj veľa

Výsledky tejto činnosti sú už na prvé prečítanie desivé. „Stiahli sme dostatočne veľkú vzorku náhodných dát a analyzovali, že ide o skutočne unikátne záznamy. Na základe numerických identifikátorov sme odhalili minimálne 391250 validných záznamov (podľa https://korona.gov.sk/ je ich momentálne 393486). Identifikovali sme úplne čerstvé záznamy o testovaných pacientoch (pár hodín predtým ako bola uvedená zraniteľnosť opravená).



Prvý záznam mal identifikátor 8966. Uniknuté informácie ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email dokážu byť zneužité na sofistikované cielené útoky sociálneho inžinierstva (phishing, vishing a iné). Využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názvu laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené „scam“ útoky,“ popisuje masívny únik údajov Nethemba.

Náprava trvala dlhé tri dni

Spoločnosť tieto defekty okamžite nahlásila oficiálnym kanálom CSIRT ku dňu 13. septembra o 23:30 hodine. Závažné však je, že k oprave týchto nedostatkov došlo až o niekoľko dní neskôr! „K oprave uvedenej zraniteľnosti došlo 16.9 zhruba medzi 16:30-16:50. Až po oprave tejto zraniteľnosti sme sa rozhodli uvedenú zraniteľnosť publikovať,“ píše spoločnosť, ktorá sa v závere problému pýta, ako je možné, že takéto citlivé údaje o všetkých testovaných pacientoch boli umiestnené takýmto verejným spôsobom.

„Prečo neboli nijako anonymizované alebo šifrované? Prečo neboli nijako chránené autentifikáciou? Prečo neboli zničené informácie o niekoľko mesiacoch starých záznamoch pacientov?“ kladie závažné otázky spoločnosť.

Raši chce chlavu Krajčího a Remišovej

Na tieto zistenia už stihli zareagovať aj politici, vrátane predchodcu Veroniky Remišovej Richarda Rašiho z Hlasu-SD. Ten vo svojom nahnevanom statuse vyzýva ministra zdravotníctva Mareka Krajčího z OĽaNO a vicepremiérku Remišovú zo Za ľudí na odchod.



„O amaterizme tejto vlády sa presviedčame denne. Ale to, čo sa stalo v uplynulých dňoch je niečo, čo nemá obdobu. Matovičova vláda vedie tento štát od desiatich k piatim už pol roka... Pani Remišová zastavuje dôležité projekty, vytvára štátne IT firmy, ale dáta občanov ochrániť nevie, hoci má na to všetky možnosti. Minister Krajčí, pod ktorého Národné centrum zdravotníckych informácií patrí, pravdepodobne ani netuší, že takéto dáta má. Vyzývam preto oboch ministrov, aby vyvodili zodpovednosť, ospravedlnili sa občanom a okamžite odstúpili,“ napísal na sociálnej sieti Raši.

Kritika prichádza aj od progresívcov

Za možné katastrofálne zlyhanie štátu označil dnešné zistenia Nethemby Michal Šimečka, europoslanec a člen mimoparlamentného Progresívneho Slovenska. „Ak sa potvrdí, že vláda nedokázala ochrániť najcitlivejšie údaje tisícov ľudí testovaných na COVID-19, asi je naozaj dobré, ak počkáme, kým jej dáme aj prístup k dátam o našom pohybe,“ píše okrem iného na facebooku Šimečka. Pridal sa k nemu aj jeho bývalý stranícky šéf Michal Truban, ktorý doplnil k otázkam odborníkov ešte tú svoju. „Prečo premiér neustále tlačí na zákony, ktoré zasahujú do súkromia ľudí a útočí na každého, kto sa snaží tieto opatrenia udržať v rozumných ústavných hraniciach?“ pýta sa Truban narážajúc rovnako na sledovací zákon vetovaný prezidentkou Zuzanou Čaputovou.

Portál topky.sk sa na tieto pomerne závažné skutočnosti okrem ministerstva investícií, informatizácie a zdravotníctva pýtali i Úradu verejného zdravotníctva, či Národného centra zdravotníckych informácií, tie ale zatiaľ nereagovali.