Ze slovenské státní aplikace Moje eZdravie mohla uniknout data o 390 tisících slovenských uživatelích, kteří byli testovaní na nemoc COVID-19. Aplikace obsahovala zásadní zranitelnost, informovala slovenská bezpečnostní firma Nethemba, která chybu objevila.
„Na ukázku se nám podařilo získat osobní informace o více než 130 000 pacientech, z toho více než 1 600 bylo COVID-19 pozitivních,“ napsala firma. Šlo o data jako jméno, datum narození, pohlaví, číslo telefonu, adresa pobytu, informace o příznacích a údaje o odběru, včetně výsledku testu.
Aplikaci provozuje Národné centrum zdravotníckych informácií (NCZI), které je příspěvkovou organizací slovenského ministerstva zdravotnictví. Uživatelé v ní mohou mimo jiné vyplnit formulář, kterým žádají o test na COVID-19.
Zranitelnost podle Nethemby spočívala v tom, že tvůrci aplikace použili nezabezpečené API, ke kterému mohl mít přístup kdokoli. Data navíc nebyla zašifrovaná (byla v plaintextu) a aplikace neměla žádný mechanismus, který by bránil stahování velkého množství dat najednou.
Nethemba zranitelnost nahlásila nejprve slovenskému bezpečnostnímu týmu CSIRT. Veřejně o ní informovala až poté, co byla zranitelnost v aplikaci opravena.
