Nezabezpečné osobní údaje
Osobní informace některých zájemců o test na covid údajně nebyly správně zabezpečené. Jednoduchým přepsáním internetové adresy soukromé laboratoře Prevedig tak lze zobrazit velmi citlivá data. Vedle jména, příjmení a adresy se jedná o rodné číslo, číslo občanského průkazu, mobilního telefonu nebo e-mailovou adresu. Poté, co na problém upozornila televize CNN Prima NEWS, začala laboratoř situaci řešit a slíbila nápravu.
Paní Kateřina v sobotu absolvovala testy na covid, aby o Vánocích mohla s rodinou navštívit rodiče. Po vyplnění třetí žádosti si ale všimla, že po dokončení registrace je na stránce odkaz na formulář, který si může vytisknout.
„Klikla jsem na to a otevřela se mi žádanka vyplněná údaji,“ popisuje. Napadlo ji, zda jdou zobrazit i ostatní žádanky. Přepsala proto část adresového řádku. „Zkusila jsem zadat číslo předtím a narazila jsem na údaj úplně někoho jiného,“ doplňuje. Redakce CNN Prima NEWS zkusila stejný postup a podezření se potvrdilo. V databázi byly k dohledání i údaje dalších pacientů.
„Vadí mi to, protože jsou v žádance poměrně citlivé údaje. Je tam celé jméno, rodné číslo i číslo občanského průkazu. Dále adresa, telefon, e-mail. Tyhle údaje teď může získat kdokoli, kdo se hlásí na tyto testy,“ podotýká. Zneužití citlivých údajů může vést v krajním případě až ke krádeži identity.
„Informace se dají zneužít třeba k uzavření nějaké smlouvy nebo půjčky,“ popisuje právník Robert Nešpůrek. Díky datům se lze také například ubytovat bez zaplacení v hotelu.
Laboratoř se zavázala chybu napravit
„My to samozřejmě napravíme. Já do IT světa nevidím a možná ani nechci. Zadám to těm, kteří tomu rozumí, a oni to vyřeší,“ popisuje ředitel laboratoře Prevedig Kamil Řáda. Že takové zabezpečení není dostačující, potvrzuje i Úřad pro ochranu osobních údajů. „Obecně lze říci, že není v pořádku, aby se kdokoli z nás pouze změnou URL adresy dostal k osobním údajům kteréhokoli jiného klienta,“ sdělil Tomáš Paták z Úřadu pro ochranu osobních údajů. Laboratoř má proto zjednat nápravu.
Skutečnost, že byl systém velmi špatně zabezpečený, potvrzuje i odborník na internetovou bezpečnost Miroslav Dvořák. „Zřejmě u jeho návrhu nebyl nikdo, kdo se zabývá informační bezpečností, protože kdyby byl, nenavrhnou ho tímto způsobem, kdy si můžete číst i údaje cizích lidí,“ uvádí Dvořák.
V čase uzávěrky reportáže se z většiny prohlížečů k údajům lidí v systému už nebylo možné dostat.