A vedia o vás všetko! Nielen tí, ktorí majú vedieť, ale aj tí, ktorí chcú.
Na blogu spoločnosti NETHEMBA, ktorá sa okrem IT bezpečnostných výskumov zameraných na hľadanie kritických zraniteľnosti nových technológií venuje aj podpore kultúry sme našli zaujímavé informácie, ako sa im podarilo objaviť zraniteľnosť systému Moje eZdravie. Boli ste na testoch? Informácie sú pravdepodobne dostupné pre kohokoľvek. Aj tie o vás…Z ich blogu vyberáme…
V aplikácii Moje eZdravie sme identifikovali triviálnu zraniteľnosť, ktorá nám umožnila získať osobné informácie o viac ako 390 000 pacientoch, ktorí boli na Slovensku testovaní na COVID-19 (na demonštráciu sa nám podarilo získať osobné informácie o viac ako 130 000 pacientoch, z toho viac ako 1600 COVID-19 pozitívnych).
Medzi získané osobné informácie každého pacienta patrí meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch (pneumónia, teplota, kašeľ, malátnosť, nádcha, bolesť hlavy, bolesť kĺbov a svalov), kód vzorky, dátum presného odberu, laboratórium, ktoré daný test vykonalo, lekár žiadateľ, číslo protokolu, dátum prijatia a vyšetrenia, druhy testu a samozrejme jeho výsledok.
POPIS ZRANITEĽNOSTI
Zneužitie uvedenej zraniteľnosti vedúce k úniku viac ako štvrť milióna osobných údajov a výsledkov COVID-19 testov slovenských občanoch bolo možné vďaka nasledujúcim faktorom:
Únik formátu API volaní verejným vyhľadávačom (ktoré ho zaindexovali)
Umožnenie neautorizovaného prístupu k samotným volaniam API, ktoré umožňovalo prístup k citlivým informáciám a to bez akejkoľvek autentifikácie
Možnosť získať informácie o všetkých pacientoch jednoduchou enumeráciou číselného identifikátora
Absencia akýchkoľvek mechanizmov, ktoré by znemožňovali masívne sťahovanie uvedených údajov
Všetky dáta boli v nešifrovanej, teda úplne nezabezpečenej forme (v „plaintext“)
ZÍSKANIE DATABÁZY PACIENTOV TESTOVANÝCH NA COVID-19
Útočník dokázal k uvedeným údajom všetkých pacientov pristúpiť bez akejkoľvek autentifikácie a tiež bez špeciálnych technických znalostí. Skript na získanie údajov o všetkých pacientov v XML formáte je úplne triviálny.
Celý článok nájdete tu: https://nethemba.com/sk/kriticka-zranitelnost-v-aplikacii-moje-ezdravie-unik-databazy-pacientov-testovanych-na-covid-19/
Mohlo by vás tiež zaujímať
Prof. MUDr. Peter Pružinec: Rúška nechránia tak, ako si to ľudia predstavujú…