0

Lekárska komora nezabezpečila dáta 11-tisíc lekárov. Stačilo uhádnuť, čo slúži ako meno a heslo

Logika prihlasovania do informačného systému Slovenskej lekárskej komory (SLK) nechránila prístup do lekárskych profilov dostatočným spôsobom. Napriek tomu, že si mohol databázu stiahnuť ktokoľvek, komora pre Sme.sk uviedla, že súbor „nebol vypublikovaný a nebol na internete verejne viditeľný“. Hocikto sa tak vedel roky prihlásiť do systému a pozrieť si citlivé údaje lekára, napr. telefonické kontakty na lekárov či ich trvalé bydlisko.

Momentálne je už URL adresa k nemu nefunkčná. Stále je však zaindexovaná v internetovom vyhľadávači. Potenciálne si ju tak vedeli nájsť roboty hľadajúce citlivé dáta. Z URL adresy vyplýva, že inkriminovaný súbor ostal zrejme nedopatrením v priečinku s dočasným obsahom.

Stačilo vedieť, aké údaje slúžia na identifikáciu používateľov a nájsť si ich na internete. Na prihlasovanie slúžili pravdepodobne od začiatku len predvolené údaje.

  • Na webe Slovenskej lekárskej komory sa nachádzala databáza s registračnými číslami 11-tisíc lekárov.
  • Registračné čísla slúžia ako prihlasovacie meno do jej systému. Heslo bolo meno lekára.
  • Hocikto sa tak vedel roky prihlásiť do systému a pozrieť si citlivé údaje lekára ako kontakty či trvalé bydlisko.

Logika prihlasovania do informačného systému Slovenskej lekárskej komory nechránila prístup do lekárskych profilov dostatočným spôsobom. Stačilo vedieť, aké údaje slúžia na identifikáciu používateľov a nájsť si ich na internete.

Na bezpečnostné riziko upozornil organizáciu všímavý používateľ Ivan Hamráček. Keď po dňoch čakania nedostatok kompetentní neodstránili, informáciu dal aj na sociálnu sieť a obrátil sa aj na médiá.

Súbor našiel vyhľadávač

Do prihlasovacieho formuláru lekári zadávali ako prihlasovacie meno svoje registračné číslo a heslom bolo ich krstné meno.

Problémom bolo, že mená viac ako 11-tisíc lekárov aj s ich registračnými číslami sa dali nájsť jednoduchým spôsobom cez internetový vyhľadávač. Nachádzali sa v excelovskom súbore „Prihlasovanie_na_WEB_16_07_2015“, ktorý sa dal stiahnuť priamo zo stránky Slovenskej lekárskej komory.

Napriek tomu, že si mohol databázu stiahnuť ktokoľvek, komora pre Sme.sk uviedla, že súbor „nebol vypublikovaný a nebol na internete verejne viditeľný“.

Momentálne je už URL adresa k nemu nefunkčná. Stále je však zaindexovaná v internetovom vyhľadávači. Potenciálne si ju tak vedeli nájsť roboty hľadajúce citlivé dáta. Z URL adresy vyplýva, že inkriminovaný súbor ostal zrejme nedopatrením v priečinku s dočasným obsahom.

Dodajme ešte, že na stránke komory sú aj teraz k dispozícii podobné súbory so zoznamami lekárov, no registračné čísla v nich už nefigurujú.

Bydlisko aj kontakty

Systém nevyzýval používateľov ani na zmenu hesla z preventívnych dôvodov. „Zrejme to takto bolo od vzniku registra, čiže celé roky, a nikto si to nevšimol,“ myslí si Hamráček. Akurát príručka pre doktorov nenútene nabádala k úprave prihlasovacieho údaju: „Z bezpečnostných dôvodov je dobré zvážiť zmenu pôvodného hesla na nové.“

Čítajte viac na : Komora nezabezpečila dáta 11-tisíc lekárov. Stačilo uhádnuť, čo slúži ako meno a heslo (aktuality.sk)

Autor: Lukáš Kosno

Zdroj: zive.sk/aktuality.sk

Foto: fotolia.com

 

Odporúčané články

17. decembra 2024

SVLS: Registrácia na certifikovaný kurz POCUS Slovakia (SVLS) je otvorená!

Zobraziť viac
4. decembra 2024

WONCA webinár: Kto chce pracovať 27 hodín denne?

Zobraziť viac
1. decembra 2024

Registrácia otvorená – 2 certifikované kurzy počas 1 víkendu!

Zobraziť viac