Slovenská bezpečnostná IT spoločnosť Nethemba špecializujúca sa primárne na bezpečnosť webových aplikácií a penetračné testy tvrdí, že štátne Národné centrum zdravotníckych informácií (NCZI) nebolo opäť schopné ochrániť osobné dáta miliónov ľudí. Tie poľahky unikajú cez aplikáciu eHranica.

Ďalší únik osobných údajov občanov z databázy štátnej NCZI

Nethemba na svojom webe poukázala na to, ako je možné získať európske vakcinačné preukazy všetkých zaočkovaných občanov. Jej IT pracovníci bez problémov získali aj covid pasy slovenských politikov.

Firma poukázala na to, že pracovala s dostupnými zdrojmi. Najskôr v aplikácii eHranica identifikovala kritickú zraniteľnosť, pomocou ktorej získala kontrolu nad vakcinačným profilom ľubovoľného človeka.

„Podobne ako pri poslednej zraniteľnosti NCZI, kedy sme boli schopní stiahnuť všetky PCR/antigen testy a osobné informácie všetkých testovaných občanov, aj túto zraniteľnosť sme objavili čistou náhodou, čo znamená, že sme nerealizovali žiadny cielený scan, nehľadali konkrétne zraniteľnosti, ale identifikovali sme ju pri bežnom používaní aplikácie. Na to, aby sme získali akékoľvek informácie o vakcinačnom profile daného človeka, nám stačí poznať len rodné číslo zaočkovaného,“

upozornila IT spoločnosť na svojom webe https://nethemba.com/sk/moznost-plosneho-ziskania-a-zneuzitia-eu-vakcinacnych-certifikatov/.

Tiež Nethemba našla spôsob, ako cieleným útokom získať rodné číslo akéhokoľvek človeka, a to len na základe jeho mena a dátumu narodenia. Dokáže tak  odhaliť všetky vygenerované mužské a ženské rodné čísla, ktoré sú platné na Slovensku.

Keďže do aplikácie eHranica dokáže ktokoľvek zaregistrovať kohokoľvek len na základe jeho mena a dátumu narodenia, IT firma upozornila,  že je možné databázu NCZI ľahko kontaminovať falošnými údajmi. Vzhľadom na obrovský rozsah potenciálneho zneužitia preto navrhuje úplne ukončiť prevádzku aplikácie eHranica.

„Podobne v situácii, kedy štátne inštitúcie ako NCZI nie sú OPAKOVANE schopné zabezpečiť ochranu osobných informácií miliónov občanov, sme presvedčení, že je nevyhnutné zastaviť akékoľvek ďalšie plošné špehovanie občanov zo strany štátu,“

informuje Nethemba na webe. Taktiež kritizuje koncept rodného čísla a navrhuje ho nepoužívať ako bezpečnostný identifikátor pre akékoľvek citlivé operácie.

Čakalo sa na reakcie riaditeľa NCZI Pavla Capeka a zodpovedných ministrov Hegerovej vlády Vladimíra Lengvarského (MZ SR) a Veroniky Remišovej (MIRRI).

Veronika Remišová

Popoludní prišlo iba vyjadrenie hovorkyne NCZI Alžbety Sivej pre TASR:

„Národné centrum zdravotníckych informácií (NCZI) zásadne nesúhlasí s interpretáciou spoločnosti Nethemba o tom, že by opäť nebolo schopné ochrániť dáta občanov.“

Spoločnosť Nethemba poukazuje na zraniteľnosť systému eHranica, ktorý je prevádzkovaný NCZI spolu s Ministerstvom investícií, regionálneho rozvoja a informatizácie SR.  Interpretácia postupov pri zmenách údajov v systémoch NCZI však podľa nej nie je správna. V prvom kroku došlo podľa hovorkyne NCZI k tomu, že spoločnosť Nethemba odcudzila Úradu pre dohľad nad zdravotnou starostlivosťou rodné čísla občanov.

„V druhom kroku použila, v tomto prípade zneužila NCZI ako inštitúciu, keď prostredníctvom jej aplikácie zmenila kontaktné údaje občanov, čím sa dostala k jednoznačnému identifikátoru Covid-19-Pass (9-miestny alfanumerický kód) a prostredníctvom neho sa útočníci mohli dostať aj k Digital COVID preukazom EÚ občanov,“

skonštatovala  hovorkyňa Sivá s tým, že IT spoločnosť dvakrát porušila zákon o ochrane osobných údajov.

Pavol Capek

Bývalá ministerka vnútra Denisa Saková, súčasná poslankyňa NR SR za HLAS-SD, iba nedávno kritizovala rozhodnutie súčasnej vlády nepokračovať v projekte, ktorým sa mali nahradiť rodné čísla novými identifikátormi fyzických osôb.  Práve tento projekt pripravovaný bývalou vládou Petra Pellegriniho mal riešiť bezpečnosť osobných údajov občanov.

„Som sklamaná, že tento projekt v prospech občanov a bezpečnosti ich osobných údajov bol politicky zneužitý. Navyše sa o ňom odborne nerozhodovalo na ministerstve vnútra, kde sa pripravoval, ale na koaličnej rade,“

uviedla Denisa Saková. Na príklade opätovne uniknutých osobných údajov z databázy NCZI sa ukazuje, že mala pravdu…

Denisa Saková

Nethemba

Je slovenská bezpečnostná IT spoločnosť založená v roku 2007 špecializujúca sa primárne na bezpečnosť webových aplikácií a penetračné testy. Tvoria ju špecialisti s dlhoročnými skúsenosťami v oblasti bezpečnosti. Okrem širokého portfólia, ktoré zahŕňa intranetové a lokálne systémové audity, digitálne forenzné analýzy, audity bezdrôtových sietí či bezpečný návrh VoIP.

Nethemba ako jediná na Slovensku a v Čechách ponúka bezpečnostné audity RFID technológií a venuje sa aktívnemu výskumu v oblasti bezpečnosti, čo demonštruje pravidelnými prezentáciami na konferenciách po celom svete.