Zdá sa, že vláda Igora Matoviča s dotknutými ministrami bude čeliť obrovskému  škandálu v súvislosti s únikom osobných údajov pacientov testovaných na koronavírus zo štátnej aplikácie Moje eZdravie. Politická zodpovednosť leží na pleciach vicepremiérky, ministerky pre regionálny rozvoj a investície Veroniky Remišovej (Za ľudí) a ministra zdravotníctva Mareka Krajčího (OĽaNO).

Nie je to prvý prípad zlyhania štátnych inštitúcií pri nezabezpečení dôležitých informačných systémoch štátu.  Predchádzal tomu doposiaľ neobjasnený zásah do bezpečnosti štátnej siete Govnet, ktorý iniciovala ministerka Veronika Remišová a zákon o sledovaní pohybu ľudí – možných prenášačov koronavírusu prostredníctvom hovorov v sieti mobilných operátorov, ktorý skončil na Ústavnom súde (druhá verzia schválená vládnou väčšinou tam smeruje).

IT spoločnosť Nethemba odhalila dieru v sieti s citlivými informáciami

Slovenská bezpečnostná IT spoločnosť Nethemba upozornila na kritickú zraniteľnosť v aplikácii Moje eZdravie, na základe ktorej získala osobné informácie o viac ako 130 000 pacientoch, ktorí boli v SR testovaní na COVID-19.

Okrem iného získala ich rodné čísla aj výsledky testov. Potvrdil to výkonný riaditeľ spoločnosti Pavol Lupták s tým, že chyba umožňovala získať informácie o všetkých pacientoch v databáze.

Nethemba tak odhalila škandalózne nezabezpečenie systému osobných údajov pacientov testovaných na COVID-19, čo zhrnula vo svojom blogu.

„Všimli sme si to omylom, nebolo to cielené. Informácie sme našli na Googli. Nešlo o cielený hackerský útok, ale o náhodu. Hackeri teda nemuseli prekonávať žiadnu prekážku alebo bariéru, aby sa k údajom dostali. Je to šialené. My sme len stiahli údaje,“

dodal Lupták.

V aplikácii bolo podľa neho veľmi veľa chýb.  Jednak že citlivé  informácie boli vôbec na internete a druhou chybou bolo, že boli centralizované na jednom mieste. Dáta boli verejne dostupné bez akejkoľvek autentifikácie a overenia, neboli ani šifrované a ani anonymizované, čo je tá najhoršia kombinácia chýb.

Bývalý generálny riaditeľ Národného centra zdravotníckych informácií Peter Blaškovitš sa k situácii vyjadrovať nechcel.

„Moje pôsobenie v NCZI sa skončilo pred takmer piatimi mesiacmi, a preto nie je možné reagovať na otázky k medializovanej téme,“

reagoval pre Pravdu s tým, že nemá žiadne aktuálne ani relevantné informácie k vzniknutej situácii. Osobné údaje o testovaných začali ukladať v tejto aplikácii už koncom marca 2020.

BLOG: Kritická zraniteľnosť v aplikácii Moje eZdravie – únik databázy pacientov

V aplikácii Moje eZdravie sme identifikovali triviálnu zraniteľnosť, ktorá nám umožnila získať osobné informácie o viac ako 390 000 pacientoch, ktorí boli na Slovensku testovaní na COVID-19 (na demonštráciu sa nám podarilo získať osobné informácie o viac ako 130 000 pacientoch, z toho viac ako 1 600 COVID-19 pozitívnych).

Medzi získané osobné informácie každého pacienta patrí meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch (pneumónia, teplota, kašeľ, malátnosť, nádcha, bolesť hlavy, bolesť kĺbov a svalov), kód vzorky, dátum presného odberu, laboratórium, ktoré daný test vykonalo, lekár žiadateľ, číslo protokolu, dátum prijatia a vyšetrenia, druhy testu a samozrejme jeho výsledok.

Popis zraniteľnosti

Zneužitie uvedenej zraniteľnosti vedúce k úniku viac ako štvrť milióna osobných údajov a výsledkov COVID-19 testov slovenských občanoch bolo možné vďaka nasledujúcim faktorom:

Únik formátu API volaní verejným vyhľadávačom (ktoré ho zaindexovali). Umožnenie neautorizovaného prístupu k samotným volaniam API, ktoré umožňovalo prístup k citlivým informáciám a to bez akejkoľvek autentifikácie.

Možnosť získať informácie o všetkých pacientoch jednoduchou enumeráciou číselného identifikátora. Absencia akýchkoľvek mechanizmov, ktoré by znemožňovali masívne sťahovanie uvedených údajov. Všetky dáta boli v nešifrovanej, teda úplne nezabezpečenej forme (v „plaintext“)

Získavanie databázy pacientov testovaných na COVID – 19

Útočník dokázal k uvedeným údajom všetkých pacientov pristúpiť bez akejkoľvek autentifikácie a tiež bez špeciálnych technických znalostí. Skript na získanie údajov o všetkých pacientov v XML formáte je úplne triviálny:

#!/bin/bash for (( i=8966; i < 391000; i++ )); do wget

https://mojeezdravie.nczisk.sk/api/cntnt.dnld.php/$idone

Na získanie celej databázy testovaných pacientov nebol teda potrebný žiadny špeciálny exploit.

Informácie o dátach a potenciálne zneužitie

Stiahli sme dostatočne veľkú vzorku náhodných dát a analyzovali, že ide o skutočne unikátne záznamy. Na základe numerických identifikátorov sme odhalili minimálne 391 250 validných záznamov (podľa https://korona.gov.sk/ je ich momentálne 393486).

Identifikovali sme úplne čerstvé záznamy o testovaných pacientoch (pár hodín predtým ako uvedená zraniteľnosť bola opravená).

Prvý záznam mal identifikátor 8966

Uniknuté informácie ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email dokážu byť zneužité na sofistikované cielené útoky sociálneho inžinierstva (phishing, vishing a iné). Využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názvu laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené „scam“ útoky.

Zodpovedné zverejnenie zraniteľnosti

Vzhľadom k tomu, že išlo o veľmi citlivé dáta veľkej časti slovenskej populácie, uvedenú zraniteľnosť sme nahlásili oficiálnym kanálom CSIRT 13. 9 o 23:30. K oprave uvedenej zraniteľnosti došlo 16. 9 zhruba medzi 16:30 – 16:50. Až po oprave tejto zraniteľnosti sme sa rozhodli uvedenú zraniteľnosť publikovať.

Záver

Je potrebné sa zamyslieť:

Prečo tak citlivé informácie o všetkých COVID-19 testovaných pacientoch musia boli vôbec umiestnené na verejnom internete?

Prečo neboli nijako anonymizované alebo šifrované?

Prečo neboli nijako chránené autentifikáciou?

Prečo neboli zničené informácie o niekoľko mesiacoch starých záznamoch pacientov?

Ak štát nedokáže ochrániť osobné informácie o všetkých testovaných ľuďoch na COVID-19, prečo si myslíme, že dokáže ochrániť citlivé lokalizačné údaje, ktoré dokáže získať od mobilných operátorov?

Reakcia NZCI

Národné centrum zdravotníckych informácií (NCZI) interne prešetruje okolnosti medializovaného bezpečnostného incidentu, ktorý umožnil získať etickým hackerom osobné údaje ľudí testovaných na COVID-19 z aplikácie Moje ezdravie. Pre TASR to uviedla hovorkyňa NCZI Veronika Beňadiková:

„Dočasná aplikácia Moje eZdravie je úplne nezávislá od systému elektronického zdravotníctva eZdravie, ktorého bezpečnosť nie je nijako spochybnená a nesúvisí s týmto prípadom,“

Do funkcie nového generálneho riaditeľa a štatutárneho orgánu Národného centra zdravotníckych informácií bol s účinnosťou od 28. 5. 2020 dočasne vymenovaný Ing. Peter Bielik, ktorý nesie priamu zodpovednosť za činnosť NCZI.

Rezort zdravotníctva už požiadal Národné centrum zdravotníckych informácií o detailné stanovisko. Hovorkyňa ministerstva zdravotníctva Zuzana Eliášová pre Pravdu spresnila, že centrum podľa ich informácií prijalo všetky potrebné bezpečnostné opatrenia a situáciu preveruje:

„O výsledkoch nás budú neodkladne informovať. Ministerstvo zdravotníctva považuje ochranu osobných údajov pri poskytovaní zdravotnej starostlivosti za jednu z kľúčových priorít. Únik tak citlivých informácií, ako sú dáta o zdravotnom stave, sa nesmie stať.“

Premiér Igor Matovič a zodpovední ministri Veronika Remišová s Marekom Krajčím celý deň mlčali a ich reakcií na tento IT škandál sme sa vo štvrtok nedočkali. Na druhej strane občania musia pod hrozbou sankcií dodržiavať neustále nové protiepidemiologické opatrenia, ktoré sa často menia, postupne sa vytráca dôvera v ich efektívnosť a opodstatnenosť.

Rekcia poslanca NR SR Richarda Rašiho (HLAS – sociálna demokracia)

O amaterizme tejto vlády sa presviedčame denne. Ale to, čo sa stalo v uplynulých dňoch, je niečo, čo nemá obdobu. Štátu unikli dáta o takmer všetkých testovaných ľuďoch na koronavírus vrátane výsledkov testu, adries, mien, rodných čísel a ďalších údajov.

Našťastie, stiahli ich etickí hekeri, ktorí ich ďalej nepredali a nezverejnili, ale štát upozornili. Upozornili vládnu jednotku CSIRT, ktorá patrí pod najnekompetentnejšiu ministerku vlády Veroniku Remišovú a kde si po nástupe dosadila nové vedenie. Poslali ho v nedeľu večer a kritická chyba bola odstránená v stredu popoludní, teda po troch dňoch!

Matovičova vláda vedie tento štát od desiatim k piatim už pol roka. Pani Remišová zastavuje dôležité projekty, vytvára štátne IT firmy, ale dáta občanov ochrániť nevie, hoci má na to všetky možnosti. Minister Krajčí, pod ktorého Národné centrum zdravotníckych informácií patrí, pravdepodobne ani netuší, že takéto dáta má. Vyzývam preto oboch ministrov, aby vyvodili zodpovednosť, ospravedlnili sa občanom a okamžite odstúpili.

Reakcia europoslanca Michala Šimečku (Progresívne Slovensko)

Tak nekompetentní ľudia nemajú vo vláde čo robiť. Ak sa toto potvrdí, ide o katastrofálne zlyhanie štátu. Aplikácia zriadená pod ministerstvom zdravotníctva mala takú bezpečnostnú dieru, že z nej unikli údaje takmer všetkých pacientov, ktorí boli na Slovensku testovaní na COVID-19.

Renomovaná bezpečnostná spoločnosť Nethemba uvádza, že získala nasledovné údaje: meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch (pneumónia, teplota, kašeľ, malátnosť, nádcha, bolesť hlavy, bolesť kĺbov a svalov), kód vzorky, dátum presného odberu, laboratórium, ktoré daný test vykonalo, lekár žiadateľ, číslo protokolu, dátum prijatia a vyšetrenia, druhy testu a samozrejme jeho výsledok. Jediné šťastie je, že údaje nezneužila a na dieru upozornila štátne orgány, ktoré ju opravili – trvalo to však tri (!) dni.

Pripomeňme si, ako sa nedávno premiér sťažoval na prezidentku Čaputovú, že mu zťažuje boj s koronou: z dôvodu možného ohrozenia ústavných práv nepodpísala zákon, ktorý by vláde dal prístup k dátam od mobilných operátorov. Ak sa potvrdí, že vláda nedokázala ochrániť najcitlivejšie údaje tisícov ľudí testovaných na COVID-19, asi je naozaj dobré, ak počkáme, kým jej dáme aj prístup k dátam o našom pohybe.  

Ja vláde v mnohom držím palce, ale druhú vlnu korony – od trasovania cez nezmyselné opatrenia až po zber a ochranu zdravotných údajov – fatálne nezvláda.

Reakcia poslankyne NR SR Jany Cigánikovej (SaS):

Viem o tom zatiaľ málo, ale z toho, čo viem, je to veľký problém. Mala by prebehnúť kontrola z Úradu na ochranu osobných údajov. Budem iniciovať  tejto veci poslanecký prieskum.  Bolo by na mieste , aby sa poslanci NR SR  dozvedeli, ako sa zbierajú dáta v súvislosti s ochorením COVID-19. Ja osobne neviem pochopiť, ako sa takéto niečo mohlo stať.