Hlavní navigace

Slovenská covidová aplikace Moje eZdravie obsahovala chybu, šlo z ní získat data o uživatelích

Sdílet

David Slížek 17. 9. 2020

Ze slovenské státní aplikace Moje eZdravie mohla uniknout data o 390 tisících slovenských uživatelích, kteří byli testovaní na nemoc COVID-19. Aplikace obsahovala zásadní zranitelnost, informovala slovenská bezpečnostní firma Nethemba, která chybu objevila.

„Na ukázku se nám podařilo získat osobní informace o více než 130 000 pacientech, z toho více než 1 600 bylo COVID-19 pozitivních,“ napsala firma. Šlo o data jako jméno, datum narození, pohlaví, číslo telefonu, adresa pobytu, informace o příznacích a údaje o odběru, včetně výsledku testu.

Aplikaci provozuje Národné centrum zdravotníckych informácií (NCZI), které je příspěvkovou organizací slovenského ministerstva zdravotnictví. Uživatelé v ní mohou mimo jiné vyplnit formulář, kterým žádají o test na COVID-19.

Zranitelnost podle Nethemby spočívala v tom, že tvůrci aplikace použili nezabezpečené API, ke kterému mohl mít přístup kdokoli. Data navíc nebyla zašifrovaná (byla v plaintextu) a aplikace neměla žádný mechanismus, který by bránil stahování velkého množství dat najednou.

Nethemba zranitelnost nahlásila nejprve slovenskému bezpečnostnímu týmu CSIRT. Veřejně o ní informovala až poté, co byla zranitelnost v aplikaci opravena. 

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.