Článek
Za aplikací Moje eZdravie stojí slovenské Národní centrum zdravotnických informací (NCZI). Prostřednictvím ní se lidé dozví o aktuálních bezpečnostních opatřeních na Slovensku, mohou ji ale využít také k tomu, aby se na území našich východních sousedů nechali otestovat na koronavirus.
Neplatí to přitom pouze pro Slováky, ale také pro občany dalších států – například i pro Čechy. V praxi to funguje velmi jednoduše, v podstatě jako registrační formulář. Lidé zadají všechny své osobní a kontaktní údaje, aktuální příznaky související s koronavirem a objednají se na test.
Mobil bude varovat před nákazou. Pozná rizikový kontakt, říká Dzurilla
Data naservírovaná na zlatém podnosu
Právě v tom je však kámen úrazu, jak upozornil server SME.sk. Aplikace totiž měla chybu, prostřednictvím které bylo možné stáhnout citlivá data všech pacientů.
Podle ředitele kyberbezpečnostní společnosti Nethemba Pavola Luptáka trhlina umožňovala hackerům získat přístup k osobním údajům všech pacientů, kterých rozhodně nebylo málo. Aplikaci využilo totiž na 390 tisíc lidí, z velké části šlo přitom údajně o obyvatele České republiky.
Aby výzkumníci Nethemby skutečně demonstrovali objevení trhliny, stáhli data více než 130 tisíc lidí. „Citlivé údaje nebyly zašifrované, rozklíčovat všechny zadané údaje tedy nebylo vůbec složité,“ prohlásil Lupták s tím, že z aplikace se dozvěděli například i to, zda lidé měli pozitivní či negativní test na koronavirus. Zdůraznil přitom, že v programu nebyly aplikovány ani další bezpečnostní mechanismy, například omezení hromadného stahování.
Ještě před zveřejněním problému kontaktovali výzkumníci Nethemby NCZI, informace o trhlině zveřejnili až po vydání opravy. Přesto mohou mít podle serveru Sme.sk oplétačky se zákonem. Problém představuje fakt, že data více než 130 tisíc lidí skutečně stáhli, a získali tak k nim neoprávněný přístup.
Ruští hackeři se snaží ukrást informace o vývoji vakcíny na koronavirus, tvrdí několik zemí
Výzkumníkům hrozí pokuta
Vzhledem k počtu dotčených osob předpokládá právník Peter Kováč z advokátní kanceláře Kinstellar udělení vysoké pokuty od Úřadu pro ochranu osobních údajů. Právě tomu by mělo NCZI únik dat oznámit.
„Prošetřujeme okolnosti medializovaného bezpečnostního incidentu, který umožnil získat etickým hackerům osobní údaje lidí testovaných na covid-19 z aplikace Moje eZdravie,“ uvedli zástupci NCZI v oficiálním prohlášení.
Zdůraznili přitom, že aplikace není nijak napojena na systém slovenského elektronického zdravotnictví eZdravie. Zneužita tak mohla být skutečně jen data lidí, kteří využili zmiňovanou mobilní aplikaci.
