Odborníci upozornili na možnosť úniku údajov o testovaných na COVID-19
AKTUALIZOVANÉ
Slovenská bezpečnostná IT spoločnosť Nethemba upozornila na kritickú zraniteľnosť v aplikácii Moje ezdravie, na základe ktorej získala osobné informácie o viac ako 130-tisíc pacientoch, ktorí boli v SR testovaní na COVID-19.
Okrem iného získala ich rodné čísla aj výsledky testov. Potvrdil to výkonný riaditeľ spoločnosti Pavol Lupták s tým, že chyba umožňovala získať informácie o všetkých viac ako 390-tisíc pacientoch v databáze.
Spoločnosť problém nahlásila
Problém spoločnosť nahlásila v nedeľu 13. septembra vládnej kyberbezpečnostnej jednotke CSIRT.sk. „K oprave uvedenej zraniteľnosti došlo 16. septembra zhruba medzi 16.30 hod. – 16.50 hod. Až po oprave tejto zraniteľnosti sme sa rozhodli uvedenú zraniteľnosť publikovať,“ ozrejmila spoločnosť. Zároveň upozornila, že útočník dokázal k údajom všetkých pacientov pristúpiť bez akejkoľvek autentifikácie a špeciálnych technických znalostí. Rovnako, že chýbali mechanizmy, ktoré by znemožňovali masívne sťahovanie údajov, a všetky dáta boli v nešifrovanej, teda nezabezpečenej forme.
Na základe toho sa dali získať osobné informácie každého pacienta, ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch či dátum vyšetrenia, druh testu a jeho výsledok.
„Uniknuté informácie ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email dokážu byť zneužité na sofistikované cielené útoky sociálneho inžinierstva (phishing, vishing a iné). Využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názve laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené ,scam’ útoky,“ upozornila Nethemba.
[ad][/ad]Bezpečnostný incident
Podľa advokáta ide v tomto prípade o kybernetický bezpečnostný incident aj porušenie ochrany osobných údajov. Ozrejmil, že porušenie ich ochrany musí Národné centrum zdravotníckych informácií oznámiť Úradu na ochranu osobných údajov SR.
„Notifikovať treba aj dotknuté osoby. Vzhľadom na to, že únik údajov sa týka státisícov fyzických osôb, by ich informovanie vyžadovalo neprimerané úsilie. V takom prípade treba informovať verejnosť alebo prijať podobné opatrenie, aby dotknuté osoby boli informované,“ vysvetlil pre TASR Peter Kováč z advokátskej kancelárie Kinstellar. Vzhľadom na počet dotknutých osôb predpokladá udelenie vysokej pokuty.
(TASR)
Odporúčané články
Pre našich čitateľov prinášame rozhovor s dvomi bronzovými šampiónkami, ktoré sa pravidelne umiestňujú na popredných miestach svetových pohárov a iných súťaží v disciplíne kickbox. Košičanky Alexandra Filipová a Lucia Cmárová súťažili nedávno v Abú Zabí v rôznych váhových kategóriách. V rozhovore sa dočítate aj to, akým ďalším športom sa venujú.
Opozičné strany a hnutia Progresívne Slovensko (PS), Sloboda a Solidarita(SaS), Kresťanskodemokratické hnutie (KDH) a Demokrati spoločne tento týždeň opäť organizujú verejné protesty proti krokom súčasnej vládnej koalície. V Košiciach sa zhromaždenie uskutoční v rovnakom čase ako v iných mestách teda v utorok, 16. decembra o 18:00 na Hlavnej ulici na priestranstve pred Štátnou vedeckou knižnicou na Hlavnej 10.
Študenti SOŠ beauty služieb v Košiciach už piaty rok pripravujú pre seniorov Domu pokojnej staroby A. F. Colbrieho Vianočný beauty deň. Potešili ich nielen skrášľovaním, ale aj milým slovom a úsmevom.
