„NCZI ani po tretíkrát nebolo schopné ochrániť osobné dáta miliónov ľudí,“ píšu etickí hackeri, ktorí odhaľujú trhliny v štátnych systémoch.
Etickí hackeri zo slovenskej spoločnosti Nethemba informovali, že našli hneď dve vážne zraniteľnosti v štátnych systémoch. Informoval o tom portál Živé.
Ešte v septembri minulého roka upozornili na zraniteľnosť NCZI, keď boli schopní stiahnuť všetky PCR/antigénové testy a osobné informácie všetkých testovaných občanov. Najnovšie odhalili „trhlinu“ v štátnom systéme eHranica, cez ktorý sa musí registrovať každý pred prechodom slovenskými hranicami.
Obe chyby v systéme umožňovali napríklad kohokoľvek poslať do domácej karantény na štrnásť dní alebo získať digitálny covid preukaz EÚ ľubovoľnej osoby. Prvá zraniteľnosť umožňovala pomerne jednoduchým spôsobom overiť pravosť akéhokoľvek rodného čísla. Stačilo vedieť iba meno a priezvisko osoby, jej dátum narodenia a číslo si následne overiť cez portál portaludzs.sk.
Chýbala ochrana pred botmi
V službe bol navyše zle aplikovaný mechanizmus na ochranu pred botmi CAPTCHA. To znamená, že služba sa dala používať znovu a znovu. „Jednoduchým spôsobom sme v priebehu pár minút identifikovali rodné čísla viacerých prominentných politikov. Samozrejme, rovnako je možné identifikovať rodné číslo ktoréhokoľvek občana SR,“ píšu etickí hackeri na stránke aj s opisom, ako sa k tomu dopracovali.
„Zo zoznamu vygenerovaných rodných čísel je stále možné zistiť, ktoré sú platné. A keď vieme dátum narodenia danej osoby, tak vieme zúžiť zoznam jej potenciálnych rodných čísel na rádovo desiatky,“ povedal zakladateľ Nethemby Pavol Lupták pre Živé. Etickí hackeri ďalej došli na to, že po zistení rodného čísla hľadanej osoby môžete získať cez zraniteľnosť v eHranici plný prístup k jej vakcinačnému profilu.
Získali COVID-19-PASS aj údaje o očkovaní
Slabinou eHranice bolo, že bola prepojená so systémom, v ktorom NCZI eviduje všetky informácie spojené s pandémiou – kto absolvoval test, kto je a nie je zaočkovaný a podobne. Odborníci si však všimli, že zadanie kontaktných údajov prepisuje pôvodné informácie, ktoré občan zadal pri testovaní alebo očkovaní.
Takýmto spôsobom sa dala zmeniť e-mailová adresa a telefónne číslo, na ktoré útočníkovi potom chodili všetky potvrdenia aj overovacie kódy (vrátane identifikátora COVID-19-PASS). Hacker týmto spôsobom mohol poslať do karantény prakticky kohokoľvek. Obeti o tom neprišla žiadna notifikácia, kontakty sa zmenili až po tom, čo ich opätovne „neprepísala“ na správne.
Bezpečnostné zraniteľnosti etickí hackeri nahlásili štandardným postupom vládnej jednotke na riešenie počítačových incidentov v štátnej a verejnej správe (CSIRT.SK) v piatok 30. júla a v priebehu týždňa od nahlásenia boli postupne opravené.
