Student prolomil rezervační systém pro očkování
Ve vládním rezervačním systému k očkování proti covidu byla chyba, které by dokázal zneužít běžný programátor, řekl v rozhovoru pro CNN Prima NEWS čtyřiadvacetiletý student informačních technologií Filip Šedivý. I když se od pátečního rána mohli hlásit pouze senioři starší 80 let, Šedivý se dokázal prokousat několika kroky se správným zadáním svého věku.
„Nešlo o žádné obcházení systému, byla v něm prostě chyba. Údaje, které uživatel vložil, se ověřovaly na straně uživatele. To je z bezpečnostního hlediska špatně. Měl by to ověřovat program,“ řekl v rozhovoru s Pavlínou Wolfovou student Šedivý.
Registrovat se tak šlo se správným údajem, že Šedivému je čtyřiadvacet. „Upravil jsem parametry, které jsou nutné pro ověření údajů. Uvnitř programu, který běží u uživatele v prohlížeči, bylo, že minimální věk je 80 let. Já jsem zdrojový kód otevřel, upravil hodnoty a šlo mi vše bez problémů zaslat,“ vysvětlil Šedivý.
Šedivý se nakonec dostal až ke kroku, kde získal druhý PIN kód potřebný k finální registraci. Kvůli plné kapacitě zhruba čtyři hodiny po spuštění ale jeho pouť skončila. „Studuji informační technologie, takže mě podobné věci baví. Je to můj obor a mým úkolem je vytvářet bezpečné programy, ale také je dobré se zabývat těmi, které mají nějakou zranitelnost, a hledám chyby,“ dodal Šedivý s tím, že výhody možnosti očkování mezi rizikovými skupinami občanů samozřejmě nevyužije.
Proč ověřovat data dvakrát?
Žádné další chyby prý zatím nenašel, ale jelikož po nich ani nepátral, nemůže zaručit, že neexistují. „Ověření na straně uživatele se používá, aby vyjela hláška v případě, že nastane nějaká chyba v zadaných datech. To samé by ale mělo probíhat na straně serveru, což má na starosti vývojář a firma, která systém vlastní. Nevalidní data by se poté projevila,“ nastínil Šedivý.
Systém ale jen nehanil a našel i pozitivní aspekty. „Moje největší obava byla, že systém spadne. To se nestalo, takže z pohledu rychlosti je to dobrý,“ řekl student IT technologií.
Znamená to jen jedno. Validace probíhá v režimu client-side což znamená že server pracuje již s formulářem jakožto validním a neprovádí další validace. Je to velmi nebezpečný přístup jelikož je prakticky možné zaslat na server jakékoliv data.
— Filip Šedivý (@filipsedivy) January 15, 2021
PS: Telefonní číslo je jen pro test. pic.twitter.com/nxka4nM3ky
Registrační systém pro očkování se seniorům, kterým bylo 80 a více, otevřel od pátečních 08:00. Mohli se zaregistrovat k vakcinaci, následně měli obdržet termín a místo svého očkování. Už krátce po 9. hodině ovšem ministerstvo zdravotnictví hlásilo, že kapacity pro očkování jsou vyčerpané a seniorům radilo, aby v nadcházejících dnech sledovali možné volné termíny a místa.
Babiš: Systém funguje
Problémy byly i u SMS zpráv, které měly seniorům potvrdit registraci. Operátoři ale uvedli, že vláda po nich ověřování registrací formou SMS zpráv chtěla až hodinu po spuštění systému. Přetížená byla také linka 1221, přes kterou se senioři mohli také nechat zapsat.
Babiš jakékoliv pochybení odmítá a tvrdí, že systém funguje. „Systém nevypadl. Systém byl zatížen na pět minut, tak chápu, že novináři hned sdělují tyto informace. Ale zkrátka to funguje,“ řekl na páteční tiskové konferenci v Nemocnici Na Františku premiér.