Amatérska ochrana našich osobných údajov? Do štátneho systému sa dá ľahko NABÚRAŤ!
Národné centrum zdravotníckych informácií (NCZI) nebolo opäť schopné ochrániť osobné dáta miliónov ľudí. Tvrdí to slovenská bezpečnostná IT spoločnosť, ktorá sa poľahky dostala k údajom politikov.
Ide o spoločnosť Nethemba špecializujúcu sa primárne na bezpečnosť webových aplikácií a penetračné testy. Na svojom webe poukázala na to, ako je možné získať európske vakcinačné preukazy všetkých zaočkovaných občanov. Spoločnosť získala vakcinačné preukazy slovenských politikov.
Iba rodné číslo
Firma poukázala na to, že pracovala s dostupnými zdrojmi. Najprv v aplikácii eHranica identifikovala kritickú zraniteľnosť, pomocou ktorej získali kontrolu nad vakcinačným profilom ľubovoľného človeka. „Na to, aby sme získali akékoľvek informácie o vakcinačnom profile daného človeka, nám stačí poznať len rodné číslo zaočkovaného,“ upozornila.
Tiež našla spôsob, ako útokom získať rodné číslo akéhokoľvek človeka, a to len na základe jeho mena a dátumu narodenia a našla spôsob odhaliť všetkých vygenerovaných mužských a ženských rodných čísel, ktoré sú na Slovensku platné.
Ako na to prišli?
„Cestoval som z Kyjeva do Bratislavy a pri vypĺňaní eHranica formulára som zadal iné kontaktné údaje (iný email, iné mobilné číslo) ako som zadal pri samotnej vakcinácii. Prekvapilo ma, že deň na to, som si nedokázal stiahnuť svoj EÚ COVID-19 certifikát a musel som kontaktovať NCZI. To mi síce nikdy neodpovedalo, ale prišiel som na to, že keď ako kontaktné údaje na získanie COVID-19-PASS zadám tie, ktoré som naposledy zadával pri vypĺňaní eHranica formulára, tak mi to COVID-19-PASS normálne prepošle a súčasne si dokážem stiahnuť svoj EÚ COVID-19 certifikát,“ uvádza sa na stránke IT spoločnosti Nethemba.
„Vtedy som si uvedomil, že týmto trikom dokážem získať vakcinačný preukaz prakticky akéhokoľvek človeka, ktorého rodné číslo poznám. Behom pár minút som našiel iný štátny web, ktorý mi dokázal pre konkrétne rodné číslo a meno overiť, či jeho rodné číslo je platné alebo nie. Jednoduchou enumeráciou som následne dokázal získať rodné číslo pre ľubovoľného človeka, ktorého dátum narodenia poznám. A väčšina politikov a celebrít má svoj dátum narodenia uvedený na wikipedii a všetci ostatní na sociálnych sieťach…“ píšu odborníci ďalej.
Ďalšie aktuálne témy
Odstavili by aplikáciu
IT firma upozornila na to, že sa keďže do aplikácie eHranica dokáže ktokoľvek zaregistrovať kohokoľvek len na základe jeho mena a dátumu narodenia, je možné databázu NCZI ľahko kontaminovať falošnými údajmi. Vzhľadom na obrovský rozsah potenciálneho zneužitia navrhuje prevádzku aplikácie eHranica úplne ukončiť.
„Podobne v situácii, kedy štátne inštitúcie ako NCZI nie sú OPAKOVANE schopné zabezpečiť ochranu osobných informácií miliónov občanov, sme presvedčení, že je nevyhnutné zastaviť akékoľvek ďalšie plošné špehovanie občanov zo strany štátu,“ informovala na webe.
Taktiež kritizuje koncept rodného čísla a navrhuje ho nepoužívať ako bezpečnostný identifikátor pre akékoľvek citlivé operácie.
FOTO: ilustračné
Ďalšie aktuálne a zaujímavé správy z domova a zo sveta nájdete aj na našej stránke Dnes24 a Facebooku.
Ďalšie zaujímavosti, novinky a správy z regiónov klikajte na: Bratislava24, Trnava24, Nitra24, Trenčín24, Bystrica24, Košice24, Poprad24, Prešov24, Žiar24, Považská24, Rožňava24, Michalovce24, Žilina24.