Od ranních hodin probíhá veřejná registrace na očkování proti koronaviru pro osoby starší osmdesáti let. Systém byl dopoledne silně přetížený a SMS brána zasílající potvrzovací piny zprvu poddimenzovaná. Tím ale výčet nedodělků rozhodně nekončí.
Celá webová aplikace je totiž plná bizarních a bezpečnostních chyb, které postupně objevuje komunita IT expertů.
Webová registrace na očkování proti koronaviru
Sice mi ještě nebylo 80 let, ale mohlo by být
Programátor Filip Šedivý si například prošel HTML kód formuláře, načež zjistil, že podstatná část jeho validace probíhá na straně klienta, a tak ji může pochopitelně tentýž klient i pozměnit k obrazu svému.
Ostatně, podívejte se na video níže, ve kterém Filip upraví přítmo ve webovém prohlížeči pár hodnot v HTML kódu a voilà, registrační proces rázem přejde do dalšího koku, byť Šedivý vyplňuje fiktivní osobu s rodným číslem odpovídajícím 24 letům života. Zakrátko dorazí SMS s pinem.
Ke studiu a případně i trpkému pobavení doporučujeme pročíst celé vlákno.
Ahoj Facebooku, toto je moje rodné číslo
Na další chybu, tentokrát z hlediska ochrany osobních údajů, upozorňuje na Twitteru Martin Malý. V jednom z registračních kroků se v URL HTTP požadavku přenáší rodné číslo. Na cílové stránce jsou přitom měřící kódy služeb Google Analytics a Facebooku, které mohou agregovat podobná vysoce citlivá data.
Pokud jsme se v nedávné minulosti podivovali, proč měly měřící kód Facebooku dokonce i některé české bankovní mobilní aplikace, v případě registrace na očkování a tedy nakládání se zdravotními údaji, je to možná ještě horší.
Zase další státní betaverze?
A nakonec ještě jeden tweet, který sdílela Lupa.cz a cituje v něm diskutujícího Radka Zajíce, který si všímá hromady dalších dílčích bezpečnostních přešlapů. Ty by se u podobné kritické aplikace, na jejíž přípravu mělo ministerstvo zdravotnictví v podstatě celý loňský rok (o očkování jakožto řešení krize se přece bavíme už od jara), rozhodně neměly vyskytovat.
