-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Trywialna podatność w API słowackiej aplikacji „Moje ezdrowie” umożliwiała dostęp do wrażliwych danych osobowych / medycznych ~400 000 pacjentów. Dostępne były również wyniki testów na COVID-19

17 września 2020, 12:00 | W biegu | komentarzy 5

Żarty na bok i od razu uderzenie z grubej rury. Chodzi o słowacką aplikację Moje ezdrowie, w której znajdują się dane ~400 000 osób przetestowanych na koronawirusa. W ramach demo badacze pobrali dane 190 000 osób, w tym 1600, u których zdiagnozowano COVID-19.

W samej aplikacji zakres przechowywanych danych jest dość szczegółowy i obejmuje:

  • Imię / Nazwisko
  • Datę urodzenia
  • Telefon
  • Zaobserwowane symptomy (gorączka, kaszel, ból głowy, ból mięśni, i inne)
  • Data wykonania testu
  • Laboratorium w którym wykonano test
  • Typy wykonanych testów
  • Wynik samego testu

Wszystkie te dane udało się pobrać, a sam exploit był banalnie prosty i wyglądał tak:

#!/bin/bash
for (( i=8966; i < 391000; i++ )); do
wget https://mojeezdravie.nczisk.sk/api/cntnt.dnld.php/$i
done

Jak zatem widzicie, podatne było API, które absolutnie nie sprawdzało żadnych uprawnień podczas dostępu, a dodatkowo identyfikatory kolejnych osób były po prostu kolejnymi liczbami. W skrócie – ktoś chyba zapomniał wykonać testów bezpieczeństwa

Podatność jest już załatana (została zgłoszona 13. września, załatana została 16. września).

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marek

    Jaki wysyp postów ostatnio! Ktoś chyba wrócił z urlopu i nadrabia zaległości :)

    Odpowiedz
  2. Romek

    I to jest przyczyna dla której sprzeciwiam się obowiązkowej „cyfryzacji” naszego życia przez państwo, banki i inne podmioty.

    Chcę mieć możliwość niebycia w bazach danych W OGÓLE.
    Bez takiej możliwości prędzej czy później skończy się to katastrofą – nawet jeśli nie wyciekami danych, to pełną wiedzą państwa / prywatnych firm o całym naszym życiu.
    Nie można do tego dopuścić. Działać trzeba już teraz.
    Precz z bazami danych osobowych nawet jeśli są wygodne.

    Odpowiedz
    • Michał

      A później płacz, bo jak chce się coś załatwić w urzędzie, to nie trwa to np godzinę, a 3 tygodnie, bo sie urzędy wymieniają dokumentami.

      Odpowiedz
    • dziwnosc

      i jak Ty sobie to wyobrażasz? nikt na Twoje widzi mi się nie pójdzie, nierealne i pozbawione kompletnie sensu w kontekście rozwoju IT, nawet archiwa są już zdigitalizowane, logowanie do google przez papier? przelewy bankowe tylko papierowo? emaile na papier anonimowe karty debetowe? (ah te kryptowaluty, których rządy nienawidzą), nawet smrodo nas nie uchroni bo nie chroni przed żadnym rządem i tymi co mają monopol na drukowanie ustaw

      Odpowiedz
    • wk

      @Romek

      1. Jak definiujesz „bazę danych”?
      2. Jak chcesz zgromadzić grupę poparcia dla Twojego projektu zmian społecznych (żeby np zgłosić projekt ustawy), nie używając jakiejś formy bazy danych?

      Odpowiedz

Odpowiedz na wk