Citlivé údaje boli mesiace pohodené na internete

Osobné údaje takmer 400-tisíc Slovákov, ktorí prešli testovaním na koronavírus, boli voľne dostupné na internete. Informácie boli zhromažďované v aplikácii Moje eZdravie. Upozornili na to etickí hackeri z bezpečnostnej IT spoločnosti Nethemba.

17.09.2020 21:33
Pavol Lupták, etický hacker, Foto: ,
Expert na internetovú bezpečnosť Pavol Lupták.
debata (69)

„Všimli sme si to omylom, nebolo to cielené. Informácie sme našli na Googli,“ vysvetľoval pre Pravdu výkonný riaditeľ Nethemby Pavol Lupták. Tvrdí, že nešlo o cielený hackerský útok, ale o náhodu. Hackeri teda nemuseli prekonávať žiadnu prekážku alebo bariéru, aby sa k údajom dostali. „Je to šialené. My sme len stiahli údaje,“ dodal Lupták s tým, že nemajú záujem pracovať pre štát, a teda ani pre Národné centrum zdravotníckych informácií, pod ktoré aplikácia Moje eZdravie patrí.

Podľa Luptáka bolo v aplikácii veľmi veľa chýb. „Prvá, že tie informácie boli vôbec na internete. Druhou chybou bolo, že boli centralizované na jednom mieste. Dáta boli verejne dostupné bez akejkoľvek autentifikácie a overenia, neboli ani šifrované a ani anonymizované,“ vysvetlil Lupták s tým, že práve toto je najhoršia kombinácia chýb.

Bývalý generálny riaditeľ Národného centra zdravotníckych informácií Peter Blaškovitš sa k situácii vyjadrovať nechcel. „Moje pôsobenie v NCZI sa skončilo pred takmer piatimi mesiacmi, a preto nie je možné reagovať na otázky k medializovanej téme,“ reagoval pre Pravdu. Dodal, že nemá žiadne aktuálne ani relevantné informácie k vzniknutej situácii. Podľa informácií Pravdy sa však informácie o testovaných začali ukladať v tejto aplikácii už koncom marca.

Meno, adresa, telefón

O testovaných boli dostupné údaje ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, trvalé bydlisko, mobilné číslo, emailová adresa, popis priebehu ochorenia, v ktorom laboratóriu bol testovaný aj výsledok testu – a prístup k nim mal ktokoľvek. „Na demonštráciu sme si my stiahli databázu 130-tisíc ľudí. Stiahnuté údaje, samozrejme, vymažeme,“ potvrdil Lupták. Spoločnosť Nethemba problém nahlásila v nedeľu 13. septembra vládnej kyberbezpečnostnej jednotke CSIRT. Podľa Luptáka k oprave došlo 16. septembra medzi 16.30 až 16.50. Až potom sa spoločnosť rozhodla zverejniť celý incident.

Hovorkyňa Národného centra zdravotníckych informácií Veronika Beňadiková pre Pravdu uviedla, že interne prešetrujú okolnosti tohto bezpečnostného incidentu. „Dočasná aplikácia Moje eZdravie je úplne nezávislá od systému elektronického zdravotníctva eZdravie, ktorého bezpečnosť nie je nijako spochybnená a nesúvisí s týmto prípadom,“ doplnila Beňadiková.

Lupták upozornil, že k databáze sa mohli dostať aj iní ľudia. „Mohli sa však k nim dostať aj takí, čo na to neupozornili. Informácie skrátka unikli. Ja by som to bral, že niekde lietajú vo vzduchu údaje o stovkách tisíc ľudí,“ upozornil Lupták. Vysvetlil, že je veľmi ťažké dopátrať, kto si ešte citlivé údaje mohol stiahnuť. Doplnil, že národné centrum by malo mať informácie, aké IP adresy sťahovali databázu. „Mohli by zistiť, že minimálne koľkokrát si to niekto stiahol. Či budú ochotní to robiť a analyzovať, je otázne,“ zamyslel sa Lupták s tým, že nemajú dobré skúsenosti so štátnymi firmami. Upozornili na nedostatky štátnej elektronickej kasy, a doteraz neboli odstránené.

VIDEO: Raši: Nech zodpovední okamžite odstúpia! Cigániková: Je to veľký problém.

Video

Rezort zdravotníctva už požiadal Národné centrum zdravotníckych informácií o detailné stanovisko. Hovorkyňa ministerstva zdravotníctva Zuzana Eliášová pre Pravdu spresnila, že centrum podľa ich informácií prijalo všetky potrebné bezpečnostné opatrenia a situáciu preveruje. „O výsledkoch nás budú neodkladne informovať. Ministerstvo zdravotníctva považuje ochranu osobných údajov pri poskytovaní zdravotnej starostlivosti za jednu z kľúčových priorít. Únik tak citlivých informácií, ako sú dáta o zdravotnom stave, sa nesmie stať,“ zdôraznila Eliášová.

Doplnila, že v prípade, ak sa preukáže, že išlo o kybernetický bezpečnostný incident a porušenie ochrany osobných údajov, vedenie ministerstva zdravotníctva vyvodí voči kompetentným príslušnú zodpovednosť.

Rezort informatizácie vicepremiérky Veroniky Remišovej (Za ľudí), pod ktorý spadá CSIRT, zatiaľ nereagoval. Informácie o úniku citlivých údajov by však mal mať aj Úrad na ochranu osobných údajov. Podľa Lucie Bezákovej z odboru právnych služieb však ešte včera nemali nahlásený bezpečnostný incident, ktorý sa týka tohto útoku. Spresnila, že prevádzkovateľ ma takú povinnosť do 72 hodín od chvíle, čo sa o incidente dozvedel. Dodala, že je prevádzkovateľ je povinný incident zdokumentovať a prijať opatrenia na nápravu.

© Autorské práva vyhradené

69 debata chyba
Viac na túto tému: #ochrana osobných údajov #osobné údaje #hackerský útok #koronavírus