Na stránke platforma.slovensko.digital bola publikovaná ďalšia síce triviálna, ale zneužiteľná zraniteľnosť.
Ak poznáte niekoho COVID-PASS číslo (množstvo ľudí túto informáciu zdieľa na sociálnych sieťach, napríklad tu) a súčasne z verejne dostupných zdrojov získate meno a dátum narodenia (väčšina používateľov sociálnych sietí má túto informáciu verejne dostupnú – vrátane hore uvedeného “nešťastníka” v screenshote), tak jednou URL žiadosťou (/api/webspapi/sp_covid_19_pass_validate) dokážete získať rodné číslo danej osoby. Toto je na Slovensku (na rozdiel od ČR) osobný citlivý údaj, ktorý musí byť podľa zákona patrične chránený.
Závažnejší problém je, že uvedené získané informácie dokážete potom priamo aj meniť ďalšou URL žiadosťou (/webspapi/sp_covid_form_data_update_by_pass) po použití príslušného rodného čísla, ktoré získate hore uvedenou URL žiadosťou.
NCZI napriek nedávnemu vážnemu úniku obrovského množstva osobných údajov COVID-19 testovaných pacientov bezpečnosť svojich kľúčových aplikácií naďalej ignoruje.
Vyzerá, že od samotného úniku aplikácia NCZI neprešla žiadnym detailným bezpečnostným auditom (resp. ak áno, tak nebol dostatočne kvalitný).
Webové aplikácie ako aplikácia NCZI, ktoré disponujú osobnými údajmi stoviek tisícov občanov musia byť automaticky zaradené tiež do “bug bounty” programov a tisíce oči etických hackerov musia neustále hľadať a identifikovať nové zraniteľnosti. Inak sa v blízkej budúcnosti môžu objaviť nové, možno podstatne vážnejšie zraniteľnosti.
