BLOG

Vyvrátenie klamstiev zo strany NCZI

2021-08-19 13:23 Pavol Lupták

V spoločnosti Nethemba sme 14.8. vypublikovali blog Možnosť plošného získania a zneužitia EÚ vakcinačných certifikátov, kde sme odhalili a demonštrovali kritickú zraniteľnosť v systéme eHranica:

  1. K odhaleniu tejto zraniteľnosti došlo úplnou náhodou pri bežnom používaní formuláru eHranica (nešlo o žiadny cielený útok).
  2. Z našej strany nebolo prekonané žiadne bezpečnostné opatrenie (žiadne tam nebolo). Na demonštráciu zraniteľnosti sme využili výhradne verejne dostupné údaje.
  3. Postup, ktorý sme pri demonštrácii zraniteľnosti realizovali, mohol použiť úplne každý (neboli potrebné žiadne dodatočné údaje, heslá, špeciálne prístupy alebo aplikácie).

Napriek tomu, že sme uvedenú zraniteľnosť nahlásili oficiálným kanálom CSIRT už 30.7 (potvrdenie zraniteľnosti sme dostali 2.8) a 9.8 získali potvrdenie, že je to opravené, teda nasledovali sme pravidlá zodpovedného zverejňovania zraniteľnosti, tak NCZI namiesto toho, aby sa nám verejne poďakoval za nahlásenie kritickej zraniteľnosti, tak od ich tlačovej konferencie až doteraz šíri verejne klamstvá a zavádza. Preto sme sa rozhodli reagovať.

Začneme ich oficiálnou tlačovou správou:

V prvom kroku došlo k tomu, že spoločnosť Nethemba odcudzila Úradu pre dohľad nad zdravotnou starostlivosťou rodné čísla občanov. 

V Nethembe sme samozrejme žiadne rodné čísla neodcudzili. Využili sme skript uvedený vo výslednej správe na vygenerovanie všetkých potenciálnych rodných čísel pre konkrétny dátum narodenia (dokopy 909 pre jeden dátum narodenie) a následne sme využili verejne dostupnú funkcionalitu portálu na Overenie poistného vzťahu poistenca na overenie toho, ktoré z nich sú platné. Použili sme výhradne verejne dostupnú funkcionalitu, ktorá je dostupná všetkým občanom, neprekonávali sme žiadne bezpečnostné mechanizmy a nesťahovali sme žiadne zoznamy rodných čísel.

V druhom kroku použila, v tomto prípade zneužila NCZI ako inštitúciu, keď prostredníctvom jej aplikácie zmenila kontaktné údaje občanov, čím sa dostala k jednoznačnému identifikátoru Covid-19-Pass (9-miestny alfanumerický kód) a prostredníctvom neho sa útočníci mohli dostať aj k Digital Covid preukazom EÚ občanov

V Nethembe sme samozrejme nezneužili NCZI ako inštitúciu. Keby to tak bolo, tak im dopredu nič nenahlásime, nepočkáme na ich opravu zraniteľnosti, ale bez akéhokoľvek opýtania všetky získané údaje občanov (EÚ COVID certifikáty) zverejníme. Čo sa nestalo, keďže sme striktne nasledovali pravidlá zodpovedného zverejňovania zraniteľností. Takýto istý prístup, ako sme zvolili my by zvolila akákoľvek iná svetová profesionálna IT security firma.

Podľa zákona č. 301/1995 Z. z. (Zákon Národnej rady Slovenskej republiky o rodnom čísle) je rodné číslo trvalý identifikačný osobný údaj fyzickej osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch. Z uvedeného vyplýva, že spoločnosť Nethemba tak porušila zákon č. 18/2018 Z. z. o ochrane osobných údajov dvakrát.

Keďže sme žiadne rodné čísla neodcuzili, ale si ich vygenerovali a cez verejne dostupný portál len overili ich validnosť, nezískali sme ich nelegálnym alebo nelegitímnym spôsobom. Takže nedošlo k porušeniu zákona. Kto vážnym spôsobom porušil zákon a dopustil sa hrubej nedbanlivosti je NCZI, ktorý nedokázal zabezpečiť minulý rok 390 000 osobných záznamov o všetkých testovaných občanoch a tento rok ochrániť milióny COVID-19 očkovacích preukazov / vakcinačných certifikátov.

Viacero médií publikovali informáciu:

“Generálny riaditeľ NCZI Pavel Capek tvrdí, že spoločnosť získala vakcinačné preukazy desiatich politikov možno pomocou sprostredkovaných informácií z vnútra štátu. Capek tvrdí, že je možné, že scenár, ktorý spoločnosť použila, jej bol podhodený práve v súvislosti s výberom generálneho riaditeľa NCZI “.

Toto je ďalší nezmysel, ktorý šíri šéf NCZI Pavel Capek. Zverejňovaniu kritických zraniteľností vo verejných službách alebo produktoch sa ako spoločnosť venujeme od začiatku nášho vzniku (takmer 15 rokov). Pre štát dlhodobo z etických a ekonomických dôvodov nepracujeme (stojíme za iniciatívou Nepracujeme pre štát), neberieme štátne granty a podporu, neparticipujeme na štátnych tendroch, podobne nepracujeme pre politikov (ako fyzické osoby). Ak by toto pán Capek o nás vedel, tak by si zrejme našiel uveriteľnejšiu lož.

Toto vyfabulované obvinenie striktne odmietame.

NCZI aj napriek tomu, že sme striktne nasledovali pravidlá zodpovedného zverejňovania zraniteľností, dopredu sme ich kontaktovali, počkali na ich opravu a až potom zverejnili naše nálezy, podáva trestné oznámenie na neznámeho páchateľa.
Ide o nebezpečný precedens, vďaka ktorému len utrpí bezpečnosť štátnych IT systémov, pretože žiadna IT bezpečnostná firma a žiadny človek už nebude mať motiváciu reportovať akékoľvek zraniteľnosti v štátnych systémoch, v prípade, že bude musieť čeliť riziku trestného stíhania.