Špatné zabezpečení

Bezpečnostní riziko: Rodná čísla z rezervačního systému se dají ukrást, tvrdí expert

Očkování, hacker - ilustrační foto
Zdroj: TN.cz, Getty Images
Ilustrační foto
Zdeněk Drgáč
Zdeněk Drgáč
15.1. 2021 14:22
Téma:

Registrační systém na očkování proti covidu-19 se zmítá v problémech. Kromě dopoledních výpadků má i vážný problém s ochranou osobních údajů. Rodné číslo a ověřovací PIN kód nejsou chráněny a kdokoliv s přístupem ke stejné internetové síti je může potenciálně zneužít, řekl TN.cz uznávaný odborník na kyberbezpečnost Miloslav Lujka.

Zájemci o očkování proti koronaviru vyplňují citlivé údaje na webu ministerstva zdravotnictví, který je zašifrovaný správně. Potíž nastává při rezervaci konkrétního termínu. Ta totiž probíhá na stránkách malé ostravské firmy Reservatic.

 

"Po vyplnění rodného čísla a dalších osobních údajů a dalších úvodních krocích se dostanete na tuto rezervační službu. A v adrese nahoře je v otevřené formě rodné číslo i ověřovací PIN kód," řekl TN.cz expert na kyberbezpečnost Miloslav Lujka.

 

Nesprávně zabezpečné údaje se tak lehce mohou dostat do špatných rukou."Správce internetové sítě nebo kdokoliv, kdo k ní má přístup, může z logů vyčíst adresy, které navštěvujete. Reservatic místo metody post, která tyto údaje posílá ze stránky v neviditelné formě, používá metodu get, takže jsou vidět v té adrese. Kdokoliv by měl k routeru, přes který se zájemce o očkování registruje, přístup, viděl by všechna rodná čísla a další věci," vysvětlil Lujka hlavní problém rezervačního webu.

 

 

"Rozhodně není správně, aby takhle volně internetem létala rodná čísla. Data, která se kvůli tomuto dají získat, by se potom dala mohla jakkoliv zneužít," konstatoval.

 

K rodnému číslu se může dostat kdokoliv:

 

Dokonce není vyloučeno, že by se rodné číslo spolu s ověřovacím kódem daly zneužít ke zrušení celé registrace jejich právoplatného držitele. "Hypoteticky by jejich prostřednictvím bylo možné toho člověka i přeregistrovat nebo mu tu registraci zrušit. Záleželo by na rychlosti, protože ten PIN kód má nějakou platnost. Z pohledu bezpečnosti je to celé špatně a vypadá to, jako by ten systém někdo programoval hodně dávno," uzavřel Lujka. 

 

Ostravská firma Reservatic nepatří mezi žádné giganty, její základní jmění dosahuje 100 tisíc korun. Vlastní ji plastický chirurg Otakar Lucák a programátor Jiří Kubica. Přes její servery potečou osobní data milionů lidí. Kromě zmíněného rodného čísla pochopitelně jméno a příjmení, e-mailová adresa, telefonní číslo nebo zdravotní pojišťovna. 

 

 

Na poskytnutí rezervačního systému na očkování získala státní zakázku. Nezabezpeční rodných čísel přitom není pro společnost první ostuda. Reservatic zajišťuje i rezervace na antigenní testování a vyplněná data z formulářů posílal reklamním agenturám.

 

Poté, co se tato informace dostala na povrch, s tím provozovatel přestal. "Provoz Centrálního registračního systému je průběžně konzultován s Ústavem pro ochranu osobních údajů a Národním úřadem pro kybernetickou bezpečnost. V žádném případě nedochází k odesílání osobních údajů jiným subjektům. Kódy pro reklamy Facebooku a Seznamu jsou již vypnuty," uvedla ve středu Chytrá karanténa na twitteru.

 

Ministr Blatný se vyjádřil k problémům centrálního rezervačního systému:

TN.cz