Jak można było pozyskać dane na temat (nie)zaszczepionych Polaków?
W środę miało miejsce ciekawe zjawisko. Dwie duże redakcje, Wirtualnej Polski i Onetu, niezależnie od siebie i za pomocą innych technik dały dowód na to samo. To, czego spodziewaliśmy się od dawna. Że dane Polaków dotyczące szczepień znajdujące się w rządowych bazach nie są wystarczająco chronione.
To nie dziura, to wyciek!
Zacznijmy od publikacji Onetu. Kamil Dziubka w artykule wskazał z nazwiska różnych polityków i pokazał, że ci, którzy publicznie krytykują szczepienia przeciwko SARS-CoV-2, jednak się zaszczepili. Dane na temat szczepień dziennikarz pozyskał od osób, które są uprawnione do wglądu w oficjalne rządowe bazy: EWP (Ewidencja Wjazdu do Polski) oraz SEPIS (System Ewidencji Państwowej Inspekcji Sanitarnej).
W tym przypadku nie można więc mówić o luce w rządowych bazach. Po prostu uprawniony użytkownik tych systemów nielegalnie wyprowadził dane pacjentów i przekazał dziennikarzom. To wyciek, można by rzec, żadna wina rządowych systemów. Zgoda, ale pod jednym warunkiem — że administratorom uda się namierzyć tego, który dane wyprowadził. Bo jeśli nie, to znaczy, że w rządowe systemy nie wbudowano poprawnie działających mechanizmów audytowych. I wtedy ten incydent będzie można rozpatrywać jeśli nie w kategorii luki/dziury to na pewno w kategorii poważnej słabości.
Dziura! Jednak dziura!
A teraz przejdźmy do publikacji Wirtualnej Polski, która pozyskała te same dane, ale w inny sposób. Szymon Jadczak zauważył, że na rządowej stronie rejestracji wizyt na szczepienia można było nadużyć formularz do tzw. “szybkiej rejestracji”, udostępniony w serwisie pacjent.gov.pl
Aby naruszyć czyjąś prywatność wystarczyło wprowadzić nazwisko i PESEL tej osoby. Numer telefonu można było podać dowolny. Jeśli PESEL pasował do nazwiska, otrzymywało się SMS na wskazany numer telefonu. Wiadomość zawierała kod, który umożliwiał zalogowanie się do systemu rejestracji na szczepienia i wtedy — w zależności do tego, czy osoba była zaszczepiona czy nie — widać było:
- Komunikat błędu (dla osób zaszczepionych)
- Listę adresów punktów szczepień blisko adresu zameldowania (dla osób niezaszczepionych)
Innymi słowy, przy pomocy tego formularza wiele nieuprawnionych osób (bo za każdym razem można było podawać inne numery telefonów) mogło uzyskać informacje:
- Czy osoba o danym nazwisku ma taki PESEL
- Czy dana osoba była zaszczepiona
- A jeśli osoba nie była szczepiona, gdzie jest zameldowana (miejscowość)
Formularz umożliwiał więc pozyskanie danych uznawanych za dane medyczne. Co prawda potrzebny był czyjś PESEL, ale ten w przypadku wielu osób jest całkowicie jawny albo można go łatwo ustalić w wielu źródłach OSINT-owych.
Szymon zgłosił przed publikacją ten błąd Ministerstwu Zdrowia. To odpisało frazesami, które pokazały, że chyba nie do końca rozumie problem:
Przedstawiona ścieżka logowania pozwala jedynie na umówienie wizyty na szczepienia w cyklu podstawowym (jeżeli wcześniej było ono nieumówione). Nie daje natomiast możliwości umówienia się na szczepienie dawką uzupełniającą lub przypominającą. Liczba logowań jest ograniczona, tj. na jeden numer telefonu można umówić trzy osoby (trzy różne numery PESEL) [przy czym sprawdzić można było nieskończenie wiele — dop. red.]. Każdy numer telefonu jest zarejestrowany i przypisany do osoby, więc daje możliwość identyfikacji. Dodatkowo potencjalne ryzyko enumerowania numerów PESEL zostało ograniczone przez zastosowanie reCAPTCHA (…) Ryzyko związane potencjalnymi naruszeniami zostało przeanalizowane i w świetle zastosowań powyższych działań oceniono, że ryzyko niedostępności Internetowego Konta Pacjenta (w przypadku dużej liczby użytkowników) jest zdecydowanie wyższe. Ocenę ryzyka potwierdził Inspektor Ochrony Danych MZ i pełnomocnik rządu ds. cyberbezpieczeństwa minister Marek Zagórski
Ale koniec końców, Ministerstwo Zdrowia zmieniło werdykt swojej analizy ryzyka i formularz zniknął. I dobrze.
To czy ktoś jest na kwarantannie też można (było?) sprawdzić
Przypomnijmy, że jest jeszcze co najmniej jedno miejsce, gdzie można dowiadywać się czegoś na temat “pacjentów”. Chodzi o aplikację Kwarantanna Domowa, która pozwalała (a może dalej pozwala? Nie jesteśmy w stanie teraz tego sprawdzić, bo nie znamy nikogo na kwarantannie) ustalić, czy właściciel danego numeru telefonu jest aktualnie na kwarantannie, czy nie. Po prostu dla numerów telefonów osób nieobjętych kwarantanną zwracała inny komunikat błędu niż dla tych, którzy na kwarantanne zostali wysłani.
Co robić, jak żyć?
Dane wyciekają. Zwłaszcza z systemów tworzonych naprędce. Nie ma 100% skutecznej metody aby to powstrzymać. Bo nawet jak dziur nie będzie, to uprawniony użytkownik systemu dane może wynieść (patrz przypadek Onetu). Co więcej, wciąż wiele firm (a w tym przypadku także rząd — patrz przypadek Wirtualnej Polski) wykorzystuje ten numer do uwierzytelnienia obywatela. To naszym zdaniem duży błąd. Tak nie powinno się robić.
Co więc nam pozostaje? Podawanie tam gdzie to możliwe różnych identyfikatorów (np. różnych numerów telefonów). Wtedy po wycieku danych, który prędzej czy później nastąpi, nie łudźmy się że nie, ktoś nie będzie w stanie po numerze telefonów złączyć naszych szczątkowych wpisów z różnych baz by zbudować na ich podstawie pełen profil naszej osoby.
Zwróćcie na to uwagę, rejestrując się w nowych miejscach. Wielu operatorów pozwala przypiąć do swojego numeru dodatkowe numery za parę złotych. To tylko jeden z trików. Jest ich więcej i w zasadzie to temat na osobny artykuł albo webinar. Jeśli kogoś interesuje temat ochrony prywatności w internecie, to wpiszcie poniżej swój e-mail. Jak będzie odpowiednio dużo chętnych, to postaramy się taki materiał przygotować i w pierwszej kolejności poinformujemy o tym zapisane poniżej osoby
0 komentarzy