Sú naše osobné údaje chránené? IT spoločnosť získala COVID preukazy slovenských politikov

BRATISLAVA / Slovenská bezpečnostná IT spoločnosť Nethemba získala Covid preukazy slovenských politikov. Chceli tak upozorniť na to, že NCZI nebolo opäť schopné ochrániť osobné údaje miliónov Slovákov. NCZI to zásadne odmieta a dokonca podalo trestné oznámenie.

Podľa riaditeľa NCZI získala IT spoločnosť rodné čísla nelegálnym spôsobom tak, že sa nabúrala do databázy Úradu pre dohľad nad zdravotnou starostlivosťou. Vzápätí údajne zneužila aplikáciu NCZI, kde zmenila kontaktné údaje občanov. Tak sa dostala k jednoznačnému identifikátoru Covid-19-Pass a následne k digitálnym Covid preukazom. "Uviedli, že ten nález objavili pri bežnom používaní. Pri bežnom používaní sa nedá náhodou nabúrať do niekoľkých profilov politikov," vyjadril sa generálny riaditeľ NCZI Pavol Capek. "Prišli sme na to, že keď poznáme rodné číslo akéhokoľvek človeka, tak mu cez systém e-hranica tým, že ho tam zaregistrujeme, dokážeme nastaviť nové kontaktné údaje a na tie si dokážeme poslať jeho európsky vakcinačný certifikát, prípadne jeho krvné testy na protilátky," povedal etický hacker Pavol Lupták.

Dátum narodenia kohokoľvek sa dá získať prakticky jednoducho. Napríklad z katastra či sociálnych sietí. "Zaujímalo by ma, ako sa dostali z verejne dostupných zdrojov k tomu nepravému rodnému číslu, ktoré použili, lebo to vo verejných zdrojoch nebolo nikde, takže klamú," skonštatoval Capek. "To je práve to zaujímavé. Každé rodné číslo obsahuje dátum narodenia - to je tých prvých 6 číslic a potom 4 číslice. A rodné čísla musia byť deliteľné 11-timi. Takže pre jeden dátum narodenia existuje presne 909 rodných čísel," ozrejmil Lupták.

Cez verejne dostupnú štátnu webovú stránku vedela IT spoločnosť následne vygenerovať rodné číslo kohokoľvek, koho dátum narodenia poznali. "Cez verejne dostupný štátny web sme dokázali hneď overiť, ktoré z tých rodných čísel je platné a rovno sme ich dokázali použiť," povedal Lupták. NCZI podalo v tejto situácii trestné oznámenie na neznámeho páchateľa. "Dali sme trestné oznámenie na neznámeho páchateľa, čiže to nemusia byť oni, ale keďže sa oni verejne priznali, tak neviem, asi sa ich niekto niečo pýtať bude," skonštatoval Capek.

"Pokým by sme nemali uchopiteľný dôkaz o tej zraniteľnosti, jednoducho by verejne prehlásili, že si vymýšľame a že to nie je pravda, a keď ten dôkaz máme, tak nás zažalujú za to, že sme ho získali," vyjadril sa  Lupták. IT spoločnosť poukazuje aj na to, že keby na chybu v aplikácii eHranica neupozornili, mohlo dôjsť k masívnemu úniku a zneužitiu citlivých informácií miliónov Slovákov. Firma upozornila aj na to, že keďže do aplikácie eHranica dokáže ktokoľvek zaregistrovať kohokoľvek len na základe jeho mena a dátumu narodenia, je možné databázu NCZI ľahko naplniť falošnými údajmi.