NCZI podalo trestné oznámenie.
Etický heker odhalil veľkú bezpečnostnú dieru v systéme Národného centra zdravotníckych informácií. NCZI zbiera údaje o vakcinácii aj o vykonaných testoch proti COVID-19 a podľa najnovších zistení sa k týmto údajom môže dostať ktokoľvek.
Národné centrum zdravotníckych informácií (NCZI) podalo v súvislosti s únikom dát trestné oznámenie na neznámeho páchateľa. V utorok to na tlačovej konferencii uviedol generálny riaditeľ NCZI Pavol Capek. Myslí si, že útoky mali súvis s výberovým konaním na post šéfa tejto inštitúcie.
NCZI odmietlo, že by nedokázalo dáta ochrániť.
Stiahol COVID preukazy prominentných politikov
Pavol Lupták pre TV Markíza vysvetlil, že k odhaleniu tejto chyby došiel úplne náhodou. Cestoval z Kyjeva do Bratislavy a pred vstupom do lietadla ho požiadali, aby vyplnil eHranicu. Zadal tam rodné číslo a kontaktné údaje. Vyplnil tam však iný email, ako zadával pri registrovaní na očkovanie.
Doma si chcel stiahnuť COVID pas, ale nefungovalo to. Niekoľkokrát kontaktoval NCZI, no nedovolal sa tam. Skúsil teda ešte raz vyplniť formulár na vydanie COVID pasu, ale tentokrát zadal ten istý email, ktorý zadal aj do formulára eHranica. Zrazu mu stiahnutie COVID pasu fungovalo. Vtedy zistil, že keď si zmeníte kontaktné údaje v eHranici, automaticky sa vám to spáruje s vaším rodným číslom a zmení sa vám aj kontaktný údaj potrebný na vydanie COVID certifikátu.
Lupták vďaka tomu zistil, že keď poznáte rodné číslo inej osoby, stačí ju prihlásiť do eHranici, zadať tam svoj vlastný email a jednoducho si môžete stiahnuť aj jeho COVID pas. Takto sa mu podarilo stiahnuť aj preukazy prominentných politikov. Niektorí mali v preukaze záznam o každom testovaní, iní potvrdenie o očkovaní.
Rodné číslo nie je citlivý údaj
Ďalší problém, na ktorý etický heker poukazuje je samotné rodné číslo.
„Existuje veľa spôsobov, ako získať rodné číslo, nie je to až taký citlivý údaj, ako by sa mohlo zdať. Objavil som štátny web na overovanie zdravotného poistenia, kde zadáte rodné číslo, meno a priezvisko a overíte si, či človek platí zdravotné poistenie, alebo či má platné rodné číslo. Rodné číslo pozostáva z dátumu narodenia a ďalšie štyri cifry majú 10-tisíc kombinácií, no celé rodné číslo musí byť deliteľné jedenástimi. To znamená, že pre konkrétny dátum narodenia existuje len 909 možností. Politici a slávne osobnosti majú dátum narodenia uvedený na Wikipedii, ostatní si ho dobrovoľne dávajú na Facebook. Keď som našiel dátum narodenia ľubovoľného človeka, relatívne rýchlo som uhádol jeho rodné číslo a cez ten web som si to overil," vysvetľuje Lupták.
Hekerský útok podľa neho demonštruje to, že koncept rodných čísel je už prekonaný a nie je to osobný citlivý údaj.
Lupták hovorí, že celý postup, ako si stiahol COVID pasy cudzích ľudí poslal priamo NCZI. Dodáva, že túto chybu našli náhodou a keby sa niekto aplikácii venoval do hĺbky, určite by objavil ďalšie problémy. „Bezpečnosť bola odfláknutá," hodnotí Lupták.
S otázkami na NCZI sa obrátila aj TV Markíza. Ohradili sa proti vyhláseniam, že nie sú schopní uchrániť dáta občanov. Chybu už opravili. Hekera obviňujú z odcudzenia rodných čísiel a zo zneužitia databáz NCZI.
Šéf NCZI hovorí, že IT firma vo svojich výrokoch zavádza. „Vyháňajú čísla a strach do výšky, len aby sa spopularizovala firma Nethemba, ktorá cieleným útokom prostredníctvom možno sprostredkovaných informácií zvnútra štátu dokázala urobiť takúto akciu. Je možné, že scenár, ktorí použili, im bol podhodený a práve v súvislosti s výberom generálneho riaditeľa použitý," dodal.
Na otázku TASR, či NCZI vie garantovať ochranu dát občanov, Capek uviedol, že robia všetko preto, aby sa tak dialo. Tiež povedal, že mal záujem prihlásiť sa do výberového konania na post šéfa NCZI, ktoré vyhlásilo Ministerstvo zdravotníctva (MZ) SR.
Capek tiež tvrdil, že ho spoločnosť Nethemba neupozornila na chybu. Podľa jeho slov spoločnosť NCZI upozornila, že zneužil funkciu tým, že od niekoho odcudzil prihlasovacie údaje.
Úrad na ochranu osobných údajov Slovenskej republiky v reakcii pre TASR uviedol, že disponuje mediálnou informáciou o uniknutých dátach NCZI a odhalení zraniteľnosti systému eHranice. „Úrad sa spracovaním osobných údajov v kontexte prijatých informácií zaoberá a podniká ďalšie kroky vyplývajúce z jeho kompetencie," dodal.
IT spoločnosť Nethemba potvrdila, že je pripravená čeliť obvineniu. Etický heker Lupták pre TASR zdôraznil, že NCZI dopredu informovali, preto mala štátna inštitúcia čas si chybu opraviť a predísť masívnemu úniku informácií. „Namiesto toho, aby nám verejne poďakovali, tak sa nám vyhrážajú trestným konaním,“ povedal.
Poukázal tiež na to, že „triviálnu zraniteľnosť“ môže nájsť a zneužiť akýkoľvek IT zdatný človek. „Zlí hekeri“ by podľa jeho slov neriešili porušenie zákona a NCZI by ani neinformovali.
Podotkol, že žiadne rodné čísla neodcudzili, ale si ich vygenerovali a cez verejne dostupný štátny portál overili, ktoré z nich sú platné. „Podobne v prípade eHranica sme použili bežnú funkcionalitu aplikácie (z prehliadača), ktorú mohol využiť úplne ktokoľvek. Žiadne cielené hekovanie a hlbšiu analýzu sme nerobili,“ zdôraznil.
Myslí si tiež, že takýmto krokom zo strany NCZI stratia spoločnosti akýkoľvek zmysel reportovať prípadné chyby. Trestné oznámenie označil za „morálne dno NCZI“.
Sledujte Televízne noviny vo full HD a bez reklám na Voyo
