BRATISLAVA - Dožadovali sa len toho, aby bol systém bezpečnejší, no vyšli z toho ako ľudia, ktorú chcú vraj len pozornosť a NCZI sa oháňa trestný oznámením. Reč je o etických hackeroch, pričom jeden z nich v posledných dňoch narazil na vážne trhliny systému eHranica. Sám hovorí o tom, že celá situácia sa dostáva do nebezpečného precedensu, kedy je pre hackerov bezpečnejšie na chyby upozorniť anonymne na internete, ako ich verejne oznámiť úradu.
Svoje pocity z posledných dní etický heker Pavol Lupták prezradil v rozhovore pre Hospodárske noviny. Slovenská bezpečnostná IT spoločnosť Nethemba, ktorej súčasťou je aj Lupták, tvrdí, že Národné centrum zdravotníckych informácií (NCZI) nebolo opäť schopné ochrániť osobné dáta miliónov ľudí. Poukázala na to, ako je možné získať európske vakcinačné preukazy všetkých zaočkovaných občanov. NCZI odmietlo, že by nedokázalo dáta ochrániť.
Viackrát po sebe zlyhali, šíria nepravdy, hovorí hacker
"V situácii, kedy trikrát po sebe nedokázali ochrániť citlivé dáta občanov, sú občania z toho už úplne zúfali. Hrozia im obrovské pokuty z Úradu na ochranu osobných údajov, pretože opakovane zlyhali na plnej čiare, a to niekoľkokrát. Minulý rok sme boli schopní stiahnuť 130-tisíc údajov občanov o PCR a AG testoch. Opakovane to teda nevedia ochrániť. Tie námietky, že sme ukradli rodné čísla je čistý nezmysel. My sme si tie rodné čísla sami vygenerovali a použili sme ich štátny portál na to, aby sme zistili, ktoré z tých rodných čísel sú platné a ktoré nie," bráni sa Lupták.
Ako prišiel na dieru v eHranici?
Lupták tvrdí, že na chybu prišiel náhodou. "Letel som z Kyjeva do Bratislavy a chcel som nastúpiť do lietadla. Letecká spoločnosť mi povedala, že mi nepovolí nástup, kým nevyplním e-Hranicu," tvrdí Lupták, ktorý keď formulár začal narýchlo vypĺňať, no zadal iné kontaktné údaje, ako keď bol vakcinovaný.
Na druhý deň sa snažil stiahnuť svoj covid certifikát a to sa mu nedarilo. Neskôr prišiel na to, že číslo covid pasu má stále rovnaké. Skúsil zadať aj rovnaký mail ako pri eHranici a certifikát si nakoniec stiahol. "Takže som vlastne prišiel na to, že tá databáza eHranice je prepojená alebo je to tá istá databáza ako databáza vakcinačných preukazov. A uvedomil som si, že ak poznám rodné číslo ľubovoľného človeka, tak ho dokážem zaregistrovať v eHranici a zadať vlastné kontaktné údaje a tým zmením aj kontaktné údaje v jeho vakcinačnom profile," tvrdí hacker.
Prvé čísla rodného čísla vychádzajú z dátumu narodenia, štvorčíslie za lomítkom však musel námatkovo hádať. Tak prišiel na ďalšiu neprehliadnuteľnú zraniteľnosť webu. "Existuje iný štátny web, tiež verejne dostupný, ktorý slúži na overovanie validnosti rodných čísiel. Je to na overovanie toho, či si platíte zdravotné poistenie a v akej poisťovni,“ tvrdí Lupták, ktorý na si tomto portáli dokázal overiť celé rodné číslo. "Celé rodné číslo musí byť deliteľné 11-timi. Takže množstvo tých kombinácii nie je 10-tisíc rodných čísiel ale iba 909 možných rodných čísiel,“ dovysvetlil.
Keby sme to zverejnili anonymne, sme paradoxne viac chránení
Podľa Luptáka tu navyše dochádza k nebezpečnému precedensu. "Keby sme to anonymne zverejnili, tak nečelíme takému riziku, ako keď sme im chceli reálne pomôcť a dobrovoľne sme im povedali ako to majú opraviť,“ hovorí sklamaný etický hacker. Priznáva, že takéto zverejnenie je aj určitá forma marketingu, no chybu vraj nehľadali cielene. Odmieta, že by sa snažili poškodiť NCZI.
NCZI to vidí inak
Šéf NCZI Pavol Capek hovorí, že IT firma vo svojich výrokoch zavádza. "Vyháňajú čísla a strach do výšky, len aby sa spopularizovala firma Nethemba, ktorá cieleným útokom prostredníctvom možno sprostredkovaných informácií zvnútra štátu, dokázala urobiť takúto akciu. Je možné, že scenár, ktorý použili, im bol podhodený a práve v súvislosti s výberom generálneho riaditeľa použitý," dodal s tým, že NCZI podalo v súvislosti s únikom dát trestné oznámenie na neznámeho páchateľa.
Nethemba je pripravená čeliť obvineniu. Hacker Lupták zdôraznil, že NCZI dopredu informovali, preto mala štátna inštitúcia čas si chybu opraviť a predísť masívnemu úniku informácií. Poukázal tiež na to, že "triviálnu zraniteľnosť" môže nájsť a zneužiť akýkoľvek IT zdatný človek. Podotkol, že žiadne rodné čísla neodcudzili, ale si ich vygenerovali a cez verejne dostupný štátny portál overili, ktoré z nich sú platné.
'Cracknutie' opakovaného overovania cez webové rozhranie, čiže odstránenie ochranných prvkov, nie je také triviálne, ako to uvádza IT spoločnosť Nethemba na svojej stránke. Uviedol to Úrad pre dohľad nad zdravotnou starostlivosťou (ÚDZS), ktorý sa opiera o posúdenie nezávislých odborníkov.