Škandál s aplikáciou Moje ezdravie. Etickí hakeri získali údaje o ľuďoch testovaných na Covid-19

BRATISLAVA / Na Slovensku máme veľký bezpečnostný škandál. Pre pochybenie v aplikácii "Moje ezdravie" mohli uniknúť osobné údaje ľudí testovaných na COVID 19. Na chybu upozornila slovenská IT spoločnosť Nethemba. Ako dôkaz, stiahli údaje vyše sto tisíc ľudí, kontaktovali vládnu kyber bezpečnostnú jednotku, a až po odstránení chyby, informovali verejnosť.

Sprístupnené osobné údaje

IT špecialisti, ktorí si hovoria aj etickí hakeri tvrdia, že pre skutočne triviálnu chybu NCZI bolo možné odhaliť osobné informácie o 390-tisícoch ľudí, testovaných na COVID-19. "Môj kolega pred pár dnami odhalil celkom vážnu zraniteľnosť v nejakom API rozhraní NCZI," vyjadril sa bezpečnostný špecialista, Nethemba, Pavol Lupták. 

Hakeri sa dostali k všetkým osobným údajom - krstné meno, priezvisko, rodné číslo, pohlavie, mobilné číslo, adresu, email, či laboratorium, ktoré test vykonávalo.

"A samozrejme výsledok testu plus informácie o tom, či daný pacient mal nejaké symptomy alebo nie," poznamenal Lupták. 

Reálna hrozba

"Ide o prípad neuveriteľného zlyhania, šlendrianstva a porušenia elementárnych zásad, ktoré platia pre oblasť osobných údajov a kybernetickej bezpečnosti," uviedol advokát Kinstellar Peter Kováč. Aby etickí hakeri poukázali na bezpečnostné riziko, stiahli udaje o približne 130 tisícoch ludí. Obávajú sa však, že neboli prví, kedže chyba aplikácii moje Ezdravie bola zrejme niekoľko mesiacov.

"Treba počítať s tým, že informácie o takmer pol miliona Slovákov unikli a môžu byť zneužité napríklad na socialne inžinierstvo, na fišing," upozornil Lupták.  "To je niečo tak do neba volajúceho, že si neviem predstaviť, že to skončí inak ako obrovskou pokutou, ktorú udelí Úrad na ochranu osobných údajov NCZI," poznamenal advokát Peter Kováč.

"Národné centrum zdravotníckych informácií interne prešetruje okolnosti medializovaného bezpečnostného incidentu, ktorý údajne umožnil získať etickým hakerom osobné údaje ľudí testovaných na Covid19 z aplikácie „Moje ezdravie“," informovala hovorkyňa NCZI Veronika Beňadiková. 

V Národnom centre zdravotníckych informácií sa začali kopiť telefonáty rozhorčených Slovákov. A to nielen tých čo boli na COVID-19 už testovaní. "Dočasná aplikácia „Moje ezdravie“ je úplne nezávislá od systému elektronického zdravotníctva „ezdravie“, ktorého bezpečnosť nie je nijako spochybnená a nesúvisí s týmto prípadom," informovala ďalej hovorkyňa NCZI Veronika Beňadiková

Podobný problém riešili pred tromi dňami aj v Spojenom kráľovstve. Národná zdravotnícka agentúra vo Walese nahrala omylom do verejnej databázy osobné údaje vyše 19 tisíc ľudí pozitívnych na COVID-19. Tieto údaje si mohla verejnosť pozrieť na internete viac ako 20 hodín. Na rozdiel od Slovenska však išlo len o časť osobných údajov, ktoré by nemali predstavovať až také riziko ako u nás. "Ten útok na Slovensku, je výrazne 20-násobne dramatickejší," poznamenal bezpečnostný špecialista, Nethemba, Pavol Lupták. 

"Pani ministerka sa bude o prípade po jeho dôslednom prešetrení rozprávať s ministrom zdravotníctva a dá mu odporúčanie odborníkov na kyberbezpečnosť, aby sa takéto prípady v budúcnosti už neopakovali," povedal hovorca ministerstva investícii a regionálneho rozvoja Michal Dyttert.  "V prípade ak sa preukáže, že išlo o kybernetický bezpečnostný incident a porušenie ochrany osobných údajov, vedenie ministerstva zdravotníctva vyvodí voči kompetentným príslušnú zodpovednosť," uzavrela hovorkyňa ministerstva zdravotníctva Zuzana Eliášová.