BRATISLAVA - Slovenská bezpečnostná IT spoločnosť Nethemba upozornila na kritickú zraniteľnosť v aplikácii Moje ezdravie, na základe ktorej získala osobné informácie o viac ako 130.000 pacientoch, ktorí boli v SR testovaní na COVID-19. Okrem iného získala ich rodné čísla aj výsledky testov. Potvrdil to výkonný riaditeľ spoločnosti Pavol Lupták s tým, že chyba umožňovala získať informácie o všetkých pacientoch v databáze.
Spoločnosť Nethemba o tejto závažnej chybe píše na svojom blogu. "V aplikácii pre občanov Moje ezdravie ľudia jednoduchým a prehľadným spôsobom získajú informácie o aktuálne platných nariadeniach štátu a relevantných inštitúcií," hovoril o aplikácii ešte v marci 2020 (na začiatku pandémie) generálny riaditeľ NCZI Peter Blaškovitš.
KORONAVÍRUS Štát pripravil novú aplikáciu: Budete informovaní! Rezort školstva učí online
Údaje v ohrození
Teraz však prichádza zásadný moment, kedy slovenská IT spoločnosť zistila závažné pochybenie v aplikácii. Medzi získané osobné informácie každého pacienta, ktoré sa do aplikácie vkladajú, patrí meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch (pneumónia, teplota, kašeľ, malátnosť, nádcha, bolesť hlavy, bolesť kĺbov a svalov), kód vzorky, dátum presného odberu, laboratórium, ktoré daný test vykonalo, lekár žiadateľ, číslo protokolu, dátum prijatia a vyšetrenia, druhy testu a samozrejme jeho výsledok.
Spoločnosť na blogu uvádza aj spôsoby, akými je aplikácia s týmito citlivými údajmi zraniteľná, pričom v nich uvádzajú odborné výrazy:
- Únik formátu API volaní verejným vyhľadávačom (ktoré ho zaindexovali)
- Umožnenie neautorizovaného prístupu k samotným volaniam API, ktoré umožňovalo prístup k citlivým informáciám a to bez akejkoľvek autentifikácie
- Možnosť získať informácie o všetkých pacientoch jednoduchou enumeráciou číselného identifikátora
- Absencia akýchkoľvek mechanizmov, ktoré by znemožňovali masívne sťahovanie uvedených údajov
- Všetky dáta boli v nešifrovanej, teda úplne nezabezpečenej forme (v „plaintext“)
Bez akéhokoľvek zakódovania
Spoločnosť teda simulovala útok hackera, ktorý by sa chcel k údajom dostať a výsledky sú skutočne znepokojivé. "Útočník dokázal k uvedeným údajom všetkých pacientov pristúpiť bez akejkoľvek autentifikácie a tiež bez špeciálnych technických znalostí. Skript na získanie údajov o všetkých pacientov v XML formáte je úplne triviálny," popisuje spoločnosť na svojom blogu, pričom uvádza aj kód v spomínanom formáte, ktorý tieto údaje sprístupňuje.
O neserióznosti spracovania portálu sme sa presvedčili sami, keď sme použili spomínaný kód v kombinácii s webom aplikácie Moje eZdravie. Chybové hlásenie, ktoré je už vlastne opravnou záplatou na vzniknutý problém, je na štátnu inštitúciu skutočne "prekvapivo" sformulované.
Aktualizácia 13:40: Toto chybové hlásenie sa už na webe viac nezobrazuje.
Čo všetko sa dá získať
Výsledky tejto činnosti sú už na prvé prečítanie desivé. "Stiahli sme dostatočne veľkú vzorku náhodných dát a analyzovali, že ide o skutočne unikátne záznamy. Na základe numerických identifikátorov sme odhalili minimálne 391250 validných záznamov (podľa https://korona.gov.sk/ je ich momentálne 393486). Identifikovali sme úplne čerstvé záznamy o testovaných pacientoch (pár hodín predtým ako uvedená zraniteľnosť bola opravená). Prvý záznam mal identifikátor 8966. Uniknuté informácie ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email dokážu byť zneužité na sofistikované cielené útoky sociálneho inžinierstva (phishing, vishing a iné). Využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názvu laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené „scam“ útoky," popisuje masívny únik údajov Nethemba.
Oprava nastala až o dlhé tri dni
Spoločnosť tieto defekty okamžite nahlásila oficiálnym kanálom CSIRT ku dňu 13. septembra o 23:30 hodine. Závažné však je, že k oprave týchto nedostatkov došlo až o niekoľko dní neskôr! "K oprave uvedenej zraniteľnosti došlo 16.9 zhruba medzi 16:30-16:50. Až po oprave tejto zraniteľnosti sme sa rozhodli uvedenú zraniteľnosť publikovať," píše spoločnosť.
Spoločnosť sa v závere problému pýta aj to, ako je možné, že takéto citlivé údaje o všetkých testovaných pacientoch boli umiestnené takýmto verejným spôsobom. "Prečo neboli nijako anonymizované alebo šifrované? Prečo neboli nijako chránené autentifikáciou? Prečo neboli zničené informácie o niekoľko mesiacoch starých záznamoch pacientov?" kladie závažné otázky spoločnosť.
Raši chce odchod Krajčího a Remišovej
Na tieto zistenia už stihla zareagovať aj politická obec vrátane predchodcu Veroniky Remišovej Richarda Rašiho z Hlasu-SD. Ten v nahnevanom statuse vyzýva ministra zdravotníctva Mareka Krajčího z OĽaNO a vicepremiérku Remišovú zo Za ľudí na odchod.
Nadšení nie sú ani členovia mimoparlamentného Progresívneho Slovenska. Europoslanec Michal Šimečka označil dnešné zistenia Nethemby za možné katastrofálne zlyhanie štátu. "Ak sa potvrdí, že vláda nedokázala ochrániť najcitlivejšie údaje tisícov ľudí testovaných na COVID-19, asi je naozaj dobré, ak počkáme, kým jej dáme aj prístup k dátam o našom pohybe," píše Šimečka.
Truban prirovnal situáciu k zákonu o sledovaní mobilov
Pridal sa k nemu aj bývalý šéf PS Michal Truban, ktorý pridal k otázkam odborníkov ešte ďalšiu. "Prečo premiér neustále tlačí na zákony, ktoré zasahujú do súkromia ľudí a útočí na každého, kto sa snaží tieto opatrenia udržať v rozumných ústavných hraniciach?" pýta sa Truban, ktorý naráža rovnako na sledovací zákon vetovaný prezidentkou Zuzanou Čaputovou.
Na tieto pomerne závažné skutočnosti sme sa okrem ministerstva investícií, informatizácie a zdravotníctva pýtali aj Úradu verejného zdravotníctva, či Národného centra zdravotníckych informácií.
Úrad podrobnosti prípadu prešetruje
Po viac ako štyroch hodinách sa rozhodlo zareagovať len Národné centrum zdravotníckych informácií (NCZI), ktoré je za aplikáciu priamo zodpovedné.
"Národné centrum zdravotníckych informácií interne prešetruje okolnosti medializovaného bezpečnostného incidentu, ktorý údajne umožnil získať etickým hackerom osobné údaje ľudí testovaných na Covid-19 z aplikácie „Moje eZdravie“. Dočasná aplikácia „Moje eZdravie“ je úplne nezávislá od systému elektronického zdravotníctva „ezdravie“, ktorého bezpečnosť nie je nijako spochybnená a nesúvisí s týmto prípadom," uviedla pre Topky hovorkyňa NCZI Veronika Beňadiková.
Vyvodenie zodpovednosti
Ak sa preukáže, že v aplikácii Moje ezdravie išlo o kybernetický bezpečnostný incident a porušenie ochrany osobných údajov, vedenie Ministerstva zdravotníctva (MZ) SR vyvodí voči kompetentným príslušnú zodpovednosť. V reakcii to uviedla hovorkyňa rezortu Zuzana Eliášová. Bezpečnostná IT spoločnosť Nethemba vo štvrtok upozornila na chybu v aplikácii, ktorá umožnila získať informácie o všetkých viac ako 390.000 pacientoch v databáze.
"Ministerstvo zdravotníctva považuje ochranu osobných údajov pri poskytovaní zdravotnej starostlivosti za jednou z kľúčových priorít. Únik tak citlivých informácií, ako sú dáta o zdravotnom stave, sa nesmie stať," skonštatovala hovorkyňa. Doplnila, že ministerstvo zdravotníctva v súvislosti s medializovaným incidentom požiadalo Národné centrum zdravotníckych informácií (NCZI) o detailné stanovisko. "NCZI nás informovalo, že prijalo všetky potrebné bezpečnostné opatrenia a situáciu preveruje. O výsledkoch nás budú neodkladne informovať," priblížila.