Nezabezpečné osobní údaje
Osobní informace některých zájemců o test na covid údajně nebyly správně zabezpečené. Jednoduchým přepsáním internetové adresy soukromé laboratoře Prevedig tak lze zobrazit velmi citlivá data. Vedle jména, příjmení a adresy se jedná o rodné číslo, číslo občanského průkazu, mobilního telefonu nebo e-mailovou adresu. Poté, co na problém upozornila televize CNN Prima NEWS, začala laboratoř situaci řešit a slíbila nápravu.
Paní Kateřina v sobotu absolvovala testy na covid, aby o Vánocích mohla s rodinou navštívit rodiče. Po vyplnění třetí žádosti si ale všimla, že po dokončení registrace je na stránce odkaz na formulář, který si může vytisknout.
PŘEHLEDNĚ: Rezervace na testování pro veřejnost se pomalu plní. Kde se přihlásit?
Dobrovolné testování veřejnosti začne 18. prosince, už teď se pomalu plní kapacity soukromých rezervačních systémů. Na ministerstvem slibovaný centrální systém se ale stále čeká. Kde se už nyní můžete přihlásit?
„Klikla jsem na to a otevřela se mi žádanka vyplněná údaji,“ popisuje. Napadlo ji, zda jdou zobrazit i ostatní žádanky. Přepsala proto část adresového řádku. „Zkusila jsem zadat číslo předtím a narazila jsem na údaj úplně někoho jiného,“ doplňuje. Redakce CNN Prima NEWS zkusila stejný postup a podezření se potvrdilo. V databázi byly k dohledání i údaje dalších pacientů.
„Vadí mi to, protože jsou v žádance poměrně citlivé údaje. Je tam celé jméno, rodné číslo i číslo občanského průkazu. Dále adresa, telefon, e-mail. Tyhle údaje teď může získat kdokoli, kdo se hlásí na tyto testy,“ podotýká. Zneužití citlivých údajů může vést v krajním případě až ke krádeži identity.
„Informace se dají zneužít třeba k uzavření nějaké smlouvy nebo půjčky,“ popisuje právník Robert Nešpůrek. Díky datům se lze také například ubytovat bez zaplacení v hotelu.
Laboratoř se zavázala chybu napravit
„My to samozřejmě napravíme. Já do IT světa nevidím a možná ani nechci. Zadám to těm, kteří tomu rozumí, a oni to vyřeší,“ popisuje ředitel laboratoře Prevedig Kamil Řáda. Že takové zabezpečení není dostačující, potvrzuje i Úřad pro ochranu osobních údajů. „Obecně lze říci, že není v pořádku, aby se kdokoli z nás pouze změnou URL adresy dostal k osobním údajům kteréhokoli jiného klienta,“ sdělil Tomáš Paták z Úřadu pro ochranu osobních údajů. Laboratoř má proto zjednat nápravu.
Skutečnost, že byl systém velmi špatně zabezpečený, potvrzuje i odborník na internetovou bezpečnost Miroslav Dvořák. „Zřejmě u jeho návrhu nebyl nikdo, kdo se zabývá informační bezpečností, protože kdyby byl, nenavrhnou ho tímto způsobem, kdy si můžete číst i údaje cizích lidí,“ uvádí Dvořák.
V čase uzávěrky reportáže se z většiny prohlížečů k údajům lidí v systému už nebylo možné dostat.
