SK

Štátu unikli údaje všetkých testovaných na COVID-19

Štát má za sebou najväčší únik dát svojich obyvateľov vo svojej histórii. Unikli testy a osobné údaje pacientov testovaných na COVID-19.

Peter Sooky z bezpečnostnej IT spoločnosti NETHEMBA napísal a zverejnil na webe blog, kde popisuje kritickú zraniteľnosť v aplikácii „Moje eZdravie“. Z tejto aplikácie bolo možné vytiahnuť a uložiť databázu všetkých pacientov testovaných na COVID-19.

Osobne informácie sa údajne podarilo získať až o 390 000 pacientoch, pričom sami analytici stiahli údaje o viac než 130 000 pacientoch a z toho až 1600 pozitívnych. Medzi údaje, ktoré bolo možné získať je samozrejme okrem mena a priezviska aj rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu a klinické príznaky. To však nie je všetko, patrí tu aj dátum odberu či laboratórium, lekár, číslo protokolu, druh testu a samotný výsledok. Skrátka, je to smutná vizitka aktuálneho stavu nášho IT systému.

Za problém vďačíme voľne dostupnému API pre indexovanie prehliadačom a umožnenie neautorizovaného prístupu k volaniam API. Dáta boli uložené v nešifrovanej podobe, ako „plaintext“.

Na všetko stačil jednoduchý skript:

#!/bin/bash
for (( i=8966; i < 391000; i++ )); do
wget https://mojeezdravie.nczisk.sk/api/cntnt.dnld.php/$i
done

Zdroj: blog Nethemba

Komentáre (7)
Pjetro de

"je to smutná vizitka aktuálneho stavu nášho IT systému"
a ktoreho IT systemu konkretne? systemu na podavanie danovych priznani?

vizitka to je, ale vizitka principialneho stavu spolocnosti v schopnosti riadenia IT projektov zameranych na vytvaranie, zavadzanie ci prepajanie IT systemov

hlavny problem podla mna bol: rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo, rychlo a bezpecnost sa odlozila na neskor, pricom vsetci vieme co znamena neskor: nikdy

napr. elektronicke dialnicne znamky pre osobne auta - ten IT system (okrem toho s brutalne narocnym a drahym hardverom v terene) nebol nikto nuteny zbuchat za mesiac na kolene za par desiatok tisic a napriek tomu system nie je dokonaly: 365-dnova (uzasna to funkciobnalita) bola umoznena az neskor, najprv bola iba na kalendarny rok ...... a? uniky boli? kde je databaza miliona SPZ-tiek osobnych aut s datumami a casmi kedy pod ktorou mytnou branou to auto preslo, z coho by priemerny analytik okamzite vycital vzorce spravania pre danu SPZ?

m2fizy

Pocuvajte ... netrepte tu bludy ... a hluposti ... evidentne viete o tom s prepacenim "prd makovy" ...

vobec nejde o to ze rychlo, rychlo, rychlo ... to akoze mi idete tvrdit ze rychlo sa neda vytvorit kvalitny system ? HAHAHA ... ste na smiech ... samozrejme ze to ide ... (robim to cely zivot, pre velkych zakaznikov ... Baccardi, Loreal, ... atd). Takze tu netvrdte ze to nejde ... IDE TO !!! A JE TO LEN O PENIAZOCH !!!!!

Problem je v tom ze

1) nasa vlada "kradne kde sa da" (niekto to bude citat ako ze setri) ... no zial na nespravnych miestach ... ako tradicne ked stat vedu "hlupaci bez praxe" ktory realne v zivote vobec nefungovali a len sa prizivovali na ludoch a ich daniach (priklad su ucitelia na SS alebo VS, cest vynimkam).

2) setia natolko ze "nemaju" zaujem zaplatit kvalitneho odbornika na poziciu IT admina, resp. IT manazera, ktory by si svoje oddelenie urcite osefoval ... a nedovolil by vypustit na "trh" takto "pokazeny" produkt.

3) no a k tomu setreniu ... som v praxi uz viac ako 25+ rokov (pomaly 30) a poviem Vam ze len idiot by za system zaplatit 1 MILIARDU € !!! ... som z oboru takze viem ze taky system nemal hodnotu ani nie 100 MILIONOV € ... resp. 10 MILIONOV € ... maximalne tak 1 MILION € (no ked dajme tomu aj tych 10 mil.€) ... ALE !!! ak by to tak bolo a toto by vytvarala skutocna IT firma ... a nie firma "Fickovho kona brata z pravo-laveho kolena synovec" ... tak by sa to nemohlo stat ... firmna ktora skutocne realne funguje na trhu IT si NEMOZE DOVOLIT ODOVZDAT ZAKAZKU ZAKAZNIKOVY TAKTO = NEFUNGUJUCU A DERAVU !!! A TO NEHOVORIM O TOM ZE SA JEDNALO O ZAKAZKU ZA 1 MILIARDU € !!! ABSURDITA NAJVACSIEHO ZRNA ... ale najlepsie na tom je ze jedina iniciatyva PROTI takejto hluposti je "LEN" "digital slovakia" (ktoreho som samozrejme clenom).

4) PO TOM AKO SYSTEM vlade firma odovzdala ... NEFUNGOVAL spravne ... tak VLADA CHCELA do nefungujuceho systemu NALIAT DALSIU 1 MILIARDU !!!! ... chore hlavy !!!

5) no a este nakoniec pribeh z praxe, kedze zijem v Brne bude z Brnenskej Fakultnej Nemocnice ... cca 2 mesiace dozadu ... mali "mega" problem ked "hacker" (volajme ho "hacker" aj ked islo o sleeping attack s "backdoor" trojanom, ktory tam bol podla zisteni "nasadeny" mesiace pred aktivaciou a nasledne aj DDOS ... ziadne hackerske utoky ... ale o tom potom ... bol vraj z ruska) zhodil pocas COVID-19 cely system ... a nemocnica nebola schopna nic robit ... PRECO ??? ... no z jednoducheho dovodu ... nezaplatili kvalitneho IT admina ... a ten s prepacenim "fakoval" na security ... a ani si neoveroval stav siete na zranitelnosti ... a naviac ani netusil ze mesiace vopred tam uz "utok" mal ...

Takze nieje to o tom ... ze to chcu rychlo ... je to o tom ze si nezaplatia ODBORNIKOV ... nie nieje problem v peniazoch ... lebo tie sa najdu (vid MILIARDA € za nefungujuci system) ... skor je to o tom ze rozhoduju neodbornici a neprofesionali ... ale taky co sa potrebuju co najvia a co najrychlejsie nabalit !!!

PS: ak to vnimate inac ... skoda ... evidentne pozerate stale spravy na markize ... tak otvorte oci ... a skuste si dohladat realne informacie na internete.

Pjetro de

nuz tak to boli zo znameho trohujolnika kvalita-rychlost-cena v uplnom analnom otvore vsetky tri veci: aj kvalita, aj cena (vsetko sa rozkradlo), a aj to chceli rychlo, nerozumiem preco sa vsetci potom cuduju
https://bit.ly/35WHyC1
https://bit.ly/2EsU94I

za tychto okolnosti je v podstate podivuhodne, ze vysledna verzia 0.00.01 toho alfa nightly built developer kanala tej aplikacie, vlastne aj fungovala

odborníčka na IT

a čo odborníčka na pokakanú krabičku ju nezabezpečila ?

WWW

No a kde najdem tie udaje ?

kaja

aký skript sa používa na zmeny vo volebných výsledkoch?

Matej

keby to pelle a rašinko zaistili dávno tak by sme neboli 100 rokov za jankovskú

Add new comment
TOPlist