Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!

Tag: ikp

Oddawałeś krew? Twoje zaświadczenie w IKP miało przewidywalny identyfikator

09 lutego 2026, 13:58 | Aktualności, Teksty | 0 komentarzy
Oddawałeś krew? Twoje zaświadczenie w IKP miało przewidywalny identyfikator

Jedną z podstawowych podatności aplikacji webowych jest IDOR (Insecure Direct Object Reference). Do jej wystąpienia dochodzi, gdy aplikacja udostępnia bezpośrednie odwołania do obiektów (np. zasobów) na podstawie identyfikatora przekazywanego przez użytkownika, nie weryfikując poprawnie uprawnień dostępu. W praktyce oznacza to, że aby uzyskać dostęp do zasobu, może wystarczyć znajomość (lub…

Czytaj dalej »

Banalna podatność, która mogła być wykorzystana w Internetowym Koncie Pacjenta (IKP). Można było pozyskiwać dane innych osób (również o zdrowiu).

09 maja 2025, 08:46 | W biegu | 1 komentarz
Banalna podatność, która mogła być wykorzystana w Internetowym Koncie Pacjenta (IKP). Można było pozyskiwać dane innych osób (również o zdrowiu).

Jak czytamy w oświadczeniu: “(…) w przypadku wprowadzenia zmian w adresie URL w przeglądarce internetowej podczas pracy z aplikacją IKP możliwy był nieuprawniony dostęp do dokumentacji medycznej (EDM) innych użytkowników.” Czyli pisząc po ludzku wyglądało to np. tak: /pokaz_dane_uzytkownika?id=11111 teraz ktoś wpisuje /pokaz_dane_uzytkownika?id=11112 i uzyskuje dostęp do danych osobowych (oraz…

Czytaj dalej »