Je toto incident roku? K údajům ve státní COVID19 databázi se dalo dostat triviální cestou, přičemž na tento nedostatek upozornili experti z firmy Nethemba, kteří demonstrovali chybovost státní aplikace, což znamená, že se mohli dostat k osobním údajům téměř 400 tisíc občanů.
Etickým hackerům z IT firmy Nethemba se podařilo nabourat do databáze státní mobilní aplikace Moje eZdraví. Mohli tak získat přístup k množství citlivých údajů o všech testovaných na koronavirus – přes 391 tisících občanech Slovenska. Národní centrum zdravotnických informací (NCZI) doporučovalo mobilní aplikaci Moje eZdravie již během první vlny pandemie koronaviru. Je v ní možné nalézt všechny aktuální informace a nařízení vlády v boji proti COVID-19 a také se přihlásit k otestování. Vývojáři začali na aplikaci pracovat ještě před pandemií, ale kvůli koroně proces urychlili, což mohlo vést k více identifikovaným chybám. Podle firmy Nethemba nebyl přístup k údajům a API voláním vůbec autentifikovaný, samotné údaje byly ve formě plaintextu bez jakéhokoli šifrování a program neobsahoval žádné mechanismy k zabránění masivnímu stahování údajů. Technici z Nethemby simulovali útok, ve kterém se pomocí triviálního scriptu, bez speciálního postupu na využití zranitelností, dostali k osobním údajům 130 tisíc občanů, což představuje třetinu celkové evidence.
Prolomená databáze zahrnovala základní údaje jako jméno a příjmení, adresu, datum narození, rodné číslo, ale také příznaky pacientů. Kromě osobních údajů pacientů experti získali přístup ik výsledkům jejich testů a informacím o zdravotních pojišťovnách či laboratořích. Podle společnosti Nethemba byla bezpečnostní chyba opravena do tří dnů od oznámení národnímu CSIRTu. To však neznamená, že osobní údaje pacientů jsou v bezpečí. \“Dá se předpokládat, že jsme nebyli první a že ty údaje už před námi někdo stáhl,\“ připustil pro DeníkN Pavol Lupták, ředitel firmy. „Třeba počítat s tím, že informace unikly.“ NCZI se v medializovaným informacím vyjádřilo pouze skromně: „Interně prošetřujeme okolnosti medializovaného bezpečnostního incidentu, který údajně umožnil získat etickým hackerům osobní údaje lidí testovaných na Covid-19 z aplikace Moje eZdraví,“ zveřejnil jeho reakci Živé.sk. Ředitel Národního bezpečnostního úřadu (NBÚ) podle portálu v reakci na incident nařídil provést audit kyberbezpečnosti v NCZI.
Vývojářská chyba znepokojila i samotný resort zdravotnictví: \“Pokud se prokáže, že šlo o kybernetický bezpečnostní incident a porušení ochrany osobních údajů, vedení ministerstva zdravotnictví vyvodí vůči kompetentním příslušnou odpovědnost,\“ uvedla mluvčí Zuzana Eliášová. Úřad pro ochranu osobních údajů (ÚOOÚ) stačil vydat k incidentu veřejné stanovisko: „Úřad v současnosti analyzuje medializované informace týkající se aplikace Moje eZdraví. Následně podnikne kroky ve smyslu obecného nařízení o ochraně osobních údajů a zákona o ochraně osobních údajů. O situaci bude úřad informovat prostřednictvím svého webového sídla.“ Nejde však o první odhalenou triviální chybu v aplikaci, kterou stát během pandemie zprovoznil.
Aplikace Zostanzdravy, kterou vláda probrala a masivně propagovala jako první, měla původně sloužit k dohledávání kontaktů pozitivně testovaných lidí. Aplikace však odesílala na server všechny kontakty osob, které si ji nainstalovali a v počátcích dokonce ještě jejich polohu. S aplikací pro tzv. smart karanténu eKaranténa bylo totiž spojeno několik závažných chyb, a to v iOs i Android verzi. Kontrola obličeje lze jednoduše oklamat pomocí fotografie, osoba používající zahraniční číslo si ze začátku nebyla schopna toto číslo zaregistrovat, verze pro Android umožňovala jejím uživatelům obejít karanténu a pohybovat se mimo izolaci bez znalosti úřadů.
