Slovenská bezpečnostná IT spoločnosť Nethemba, ktorá sa špecializuje primárne na bezpečnosť webových aplikácií a penetračné testy, na svojom webe ukázala, ako je možné získať európske vakcinačné preukazy všetkých zaočkovaných občanov. Spoločnosť ako dôkaz získala vakcinačné preukazy slovenských politikov.
Čo sa vlastne stalo?
IT špecialisti neoprávnene prenikli cez systém eHranica k menám a rodným číslam ľudí, ktorí sa pri prekročení hranice do tohto systému zapísali. Veď to od nich vyžaduje vyhláška hlavného hygienika SR. Po získaní týchto údajov sa potom prihlásili cez NCZI k jednotlivým COVID preukazom EÚ a zistili informácie o vakcinačných profiloch. Systém NCZI pritom nebolo nutné prelomiť, keďže poznali všetky správne prihlasovacie údaje – čo je v tomto prípade meno a rodné číslo.
Národné centrum zdravotníckych informácií vyhlasuje, že podľa ich informácií sa takto stalo v jednotkách až desiatkach prípadoch. Nejde teda o masový prienik. To však ani nebolo snahou IT špecialistov, tí poukázali len na zraniteľnosť celého systému.
Firma pritom vyhlasuje, že pracovala len s dostupnými zdrojmi. Najprv v aplikácii eHranica identifikovala kritickú zraniteľnosť, pomocou ktorej získala informácie a tieto potom použila na získanie kontroly nad vakcinačným profilom ľudí. Je pravda, že ak poznáte rodné číslo a meno osoby, naozaj sa dostanete k informáciám o vakcinačnom profile.
Nethemba poukázala na to, ako ľahko sa dá dostať k rodným číslam, ktoré majú v súčasnej situácii vysokú cenu. Pripomeňme, že rodné číslo vychádza z dátumu narodenia a pohlavia osoby a súčasne celé desaťmiestne rodné číslo musí byť bezo zvyšku deliteľné číslom 11. Malo by byť unikátne, ale na 100 % tomu tak nie je.
Do aplikácie eHranica pritom dokáže ktokoľvek zaregistrovať kohokoľvek len na základe jeho mena a dátumu narodenia, čo je problém. Aplikáciu eHranica treba teda okamžite vylepšiť a poriadne zabezpečiť. Je evidentné, že takéto prípady zneisťujú ľudí a vôbec to nepridáva na dôveryhodnosti celého procesu. Pritom dôkazy o nedostatočnom zabezpečení štátnych projektov sa objavujú na Slovensku opakovane. Je možno tiež čas zamyslieť sa nad tým, či rodné číslo je skutočne ten správny identifikátor osoby do dnešnej doby.
Zdroj: vlastné, Nethemba
Prečítajte si aj: