Podľa hekera nie je rodné číslo taký citlivý údaj, ako sa zdá.
Systémy NCZI sú vo vážnom kybernetickom ohrození. Hekeri vedeli poslať človeka do karantény či získať údaje o očkovaní a testovaní každého Slováka. Pri demonštrovaní kyberútoku sa im podarilo získať vakcinačné preukazy prominentných politikov.
Pavol Lupták je etický heker. Na štátnych zákazkách nepracuje, no na chybu v systéme NCZI prišiel úplne náhodou, keď sa vracal z dovolenky. Zistil, že databázy systému eHranica a stránky NCZI sú prepojené. Prihlásenie v jednom systéme aktualizuje kontaktné údaje v tom druhom. Na získanie vakcinačného preukazu kohokoľvek, stačí vedieť meno a rodné číslo.
„Keď ste schopní vyplniť e-hranicu za hocikoho, koho rodné číslo ste poznali, zadať tam vlastný kontaktný e-mail, tak automaticky ste pre jeho vakcinačný profil nastavili nové kontaktné údaje. Hneď som zaregistroval kamaráta na e-hranici, nastavil som tam nejaké kontaktné údaje, automaticky mi prišiel jeho COVID pas, a keď som videl jeho COVID pas, tak som mohol požiadať o jeho EÚ vakcinačný preukaz. Rodné číslo človeka nie je až taký citlivý údaj, ako by sa mohlo zdať,“ vysvetľuje Lupták.
Na zistenie rodného čísla stačí vedieť dátum narodenia. Tento údaj mnohí dobrovoľne zverejňujú napríklad na sociálnych sieťach. Štvorčíslie za lomkou sa hekerovi podarilo zistiť pomocou iného štátneho webu na overovanie zdravotného poistenia.
Lupták prezradil, že sa mu podarilo stiahnuť COVID certifikáty všetkých prominentných politikov na Slovensku.
Heker zverejnil kompletný návod, ako sa ku COVID certifikátom dostať. Ale až po tom, ako o chybe informoval NCZI.
To nám zaslalo rozsiahle stanovisko, v ktorom hekera obviňuje z odcudzenia rodných čísiel a zo zneužitia databáz NCZI. Ohradili sa proti vyhláseniam, že nie sú schopní uchrániť dáta občanov. Chybu už opravili.
„NCZI nahlásilo v pondelok 2. augusta 2021 NBÚ zraniteľnosť svojho systému. V súvislosti s tým NCZI zablokovalo možnosť prepisovania kontaktných údajov vo formulári e-hranica, čím sa znížil komfort pre občanov. Následne 3. augusta 2021 nahlásilo incident bezpečnostného zneužitia a podniklo vo veci trestnoprávne kroky. Viac informácií v súvislosti s prebiehajúcim vyšetrovaním nemôžeme poskytnúť,“ uviedlo NCZI.
Viac sa dozviete v reportáži Martina Prôčku:
Sledujte Televízne noviny vo full HD a bez reklám na Voyo
