KORONAVÍRUS: IT spoločnosť mohla získať údaje o viac ako 390-tisíc Slovákoch testovaných na COVID-19

BRATISLAVA - Slovenská bezpečnostná IT spoločnosť Nethemba upozornila na zraniteľnosť v aplikácii Moje eZdravie, ktorá im umožnila získať osobné údaje o viac ako 390-tisíc Slovákoch testovaných na COVID-19. Ako uviedla spoločnosť na svojej webovej stránke, ide okrem iného o meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či informácie o klinických príznakoch pacienta. Získať tiež mohli dátum presného odberu, laboratórium, ktoré daný test vykonalo, dátum prijatia a vyšetrenia, druhy testu či jeho výsledok.

Nethemba uviedla, že sa k citlivým informáciám mohli dostať bez akejkoľvek autentifikácie. Chýbali tiež akékoľvek mechanizmy, ktoré by znemožňovali masívne sťahovanie uvedených údajov a všetky dáta boli v úplne nezabezpečenej forme. "Uniknuté informácie ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email dokážu byť zneužité na sofistikované cielené útoky sociálneho inžinierstva. Využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názvu laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené 'scam' útoky," upozornila slovenská bezpečnostná IT spoločnosť.

Túto zraniteľnosť Nethemba nahlásila oficiálnym kanálom vládnej kyberbezpečnostnej jednotke CSIRT v nedeľu o 23:30. K oprave prišlo v stredu medzi 16:30 a 16:50. "Až po oprave tejto zraniteľnosti sme sa rozhodli uvedenú zraniteľnosť publikovať," uviedla spoločnosť.