Hlavní obsah
 

Kterak se 24letý student k registraci mezi 80letými dostal

V pátek byly spuštěny registrace na očkování proti covidu-19. Přestože byly určeny pouze pro seniory starší 80 let, povedlo se tam zaregistrovat na očkování i 24letému mladíkovi. Ten už po pár minutách objevil zásadní chybu v celém systému, za kterým stojí ministerstvo zdravotnictví. Filip Šedivý, který chybu odhalil, pro Novinky.cz popsal, jak špatně je celý systém postaven.

 
Kterak se 24letý student k registraci mezi 80letými dostal

Odhalit zásadní chybu, díky které se mohl zaregistrovat přednostně na očkování, přestože seniorského věku ani náhodou nedosahuje, se mu podařilo za pouhých 15 minut.

„Jsem studentem softwarového inženýrství na Univerzitě Tomáše Bati ve Zlíně. Internetová bezpečnost je mým koníčkem, proto mě napadlo se na celý formulář podívat trochu detailněji,“ prohlásil student pro Novinky.cz.

Podle vlastních slov ho ani nenapadlo, že objeví chybu tak rychle. V podobných robustních systémech, jakým by měl registrační systém pro celý národ bezesporu být, totiž může trvat klidně i hodiny, než někdo nějakou zranitelnost odhalí. A v ideálním případě se to ani po mnoha hodinách nepodaří.

To ale není případ českého registračního formuláře na očkování proti covidu–19. Pro neznalého člověka to samozřejmě nemusí být úplně jednoduché, ale i trochu technicky zdatnější člověk, který rozumí kódu webových stránek, se může touto cestou zaregistrovat.

Koneckonců přesně to mladý student udělal. Jak je vidět na videu výše, registračním formulářem prošel i s rodným číslem, které odpovídá 24letému člověku. Následně mu dokonce přišel i druhý PIN kód, který je nezbytný pro následný výběr termínu k očkování.

24letý student softwarového inženýrství Filip Šedivý

Foto: Filip Šedivý, osobní archiv

Upravil pár parametrů

Přestože celý systém má být navržen tak, aby nepustil v současnosti k registraci člověka mladšího 80 let, Filip vše obešel skrze konzoli internetového prohlížeče.

„Otevřel jsem si průzkumníka prvků a v kódu rezervačního systému upravil několik atributů. V drtivé většině pouze přepsal hodnotu False na True, tedy nepravda na pravda. Protože rezervační systém nevaliduje znovu údaje na serveru, ale pouze přebírá data ze strany klienta, tak touto úpravou v kódu umožnil uživateli vytvořit si rezervaci a odeslat mu důležitý druhý PIN kód,“ vysvětlil technickou stránku věci Filip.

„Poté jsem už jen upravil čistě text zaškrtávacího pole požadovaného věku a opět v kódu přepsal hodnoty. Odsouhlasil údaje, a systém mě úspěšně registroval a následně pustil k rezervaci termínu očkování,“ podotkl 24letý student.

Správně by jej přitom po zadání rodného čísla systém k dalším krokům registrace pustit neměl. „Na serveru by měl znovu zkontrolovat odeslané údaje, vyhodnotit je jako chybné a uživatele upozornit na to, že nesplňuje požadovanou věkovou hranici a k registraci ho tak nepustit,“ uzavřel Filip.

yknivoNumanzeSaNyknalC
Sdílejte článek

Reklama

Výběr článků