SME
Sobota, 24. október, 2020 | Meniny má KvetoslavaKrížovkyKrížovky
SLOVENSKO

Odborníci upozornili na možnosť úniku údajov o všetkých testovaných na COVID-19

Chyba umožňovala získať informácie o všetkých viac ako 390 000 pacientoch v databáze v aplikácii Moje ezdravie.

Ilustračná fotografia.Ilustračná fotografia. (Zdroj: unsplash)

BRATISLAVA - Slovenská bezpečnostná IT spoločnosť Nethemba upozornila na kritickú zraniteľnosť v aplikácii Moje ezdravie, na základe ktorej získala osobné informácie o viac ako 130 000 pacientoch, ktorí boli v SR testovaní na COVID-19.

Okrem iného získala ich rodné čísla aj výsledky testov.

Potvrdil to výkonný riaditeľ spoločnosti Pavol Lupták s tým, že chyba umožňovala získať informácie o všetkých viac ako 390 000 pacientoch v databáze.

Problém spoločnosť nahlásila v nedeľu 13. septembra vládnej kyberbezpečnostnej jednotke CSIRT.sk.

Skryť Vypnúť reklamu

"K oprave uvedenej zraniteľnosti došlo 16. septembra zhruba medzi 16.30 h - 16.50 h. Až po oprave tejto zraniteľnosti sme sa rozhodli uvedenú zraniteľnosť publikovať," ozrejmila spoločnosť.

Zároveň upozornila, že útočník dokázal k údajom všetkých pacientov pristúpiť bez akejkoľvek autentifikácie a špeciálnych technických znalostí. Rovnako, že chýbali mechanizmy, ktoré by znemožňovali masívne sťahovanie údajov, a všetky dáta boli v nešifrovanej, teda nezabezpečenej forme.

Na základe toho sa dali získať osobné informácie každého pacienta, ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch či dátum vyšetrenia, druh testu a jeho výsledok.

"Uniknuté informácie ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email dokážu byť zneužité na sofistikované cielené útoky sociálneho inžinierstva (phishing, vishing a iné). Využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názve laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené ,scam' útoky," upozornila Nethemba.

Skryť Vypnúť reklamu

Podľa advokáta ide v tomto prípade o kybernetický bezpečnostný incident aj porušenie ochrany osobných údajov.

Ozrejmil, že porušenie ich ochrany musí Národné centrum zdravotníckych informácií oznámiť Úradu na ochranu osobných údajov SR.

"Notifikovať treba aj dotknuté osoby. Vzhľadom na to, že únik údajov sa týka státisícov fyzických osôb, by ich informovanie vyžadovalo neprimerané úsilie. V takom prípade treba informovať verejnosť alebo prijať podobné opatrenie, aby dotknuté osoby boli informované," vysvetlil Peter Kováč z advokátskej kancelárie Kinstellar.

Vzhľadom na počet dotknutých osôb predpokladá udelenie vysokej pokuty.

Skryť Vypnúť reklamu

Najčítanejšie články

Skryť Vypnúť reklamu
Skryť Vypnúť reklamu

Téma: Slovensko

Prečítajte si aj ďalšie články k téme

Neprehliadnite tiež

Slovensko

Boris Kollár mal vážnu autonehodu, informoval premiér

Predseda parlamentu, jeho ochrankár aj vodič sú zranení.

Boris Kollár.
Slovensko

Policajti budú kontrolovať dodržiavanie opatrení vrátane zákazu vychádzania

V prípade zistenia porušení bude každý prípad polícia riešiť individuálne. Sankcie zostávajú ako doposiaľ, a to v blokovom konaní do 1 000 eur a v správnom konaní do 1 659 eur.

Ilustračné foto.
Európska únia

Rakúsky armádny imám mal sympatizovať s džihádom. Dostal okamžitý vyhadzov

Odvolaný Sijamhodzic obvinenia z islamizmu rezolútne odmietol. "Nikdy som nezdieľal džihádistické videá na svojej stránke, ani nezdieľam túto ideológiu," uviedol.

Sijamhodžič (vľavo) s bývalým vysokým predstaviteľom pre Bosnu a Hercegovinu Wolfgangom Petrischom.
Slovensko

Pri testovaní uprednostníme občanov z Oravy a Bardejova, povedal Naď

"Posilnili sme počet odberných tímov. Niekde, kde sme mali včera jeden tím, sú dnes dva, aby proces išiel rýchlejšie. Je to spôsobené najmä tým, že máme k dispozícii viac zdravotníckeho personálu," zdôvodnil.

Polovica z radu v Záskalí.