Można było sprawdzać, kto jest zaszczepiony - Wirtualna Polska wykryła dziurę w systemie

Przez lukę w systemie na rządowej stronie rejestracji wizyt można było sprawdzić, kto zaszczepił się na COVID-19. Ministerstwo Zdrowia załatało dziurę po zgłoszeniu Wirtualnej Polski.

System umożliwiał zalogowanie się każdej osobie, która podała nazwisko i powiązany z nią numer PESEL. Zabezpieczeniem stworzonym przez rządowych informatyków miał być kod przesyłany SMS-em. Ale w formularzu na rządowej stronie można było wpisać dowolny numer telefonu. A po wpisaniu przesłanego kodu odbywało się logowanie do systemu.

W jaki sposób można było sprawdzić, czy dana osoba jest zaszczepiona lub nie? Otóż w przypadku osób, które nadal nie przyjęły żadnej dawki szczepionki przeciw COVID-19, system przenosił nas od razu na stronę, gdzie można było umówić się na szczepienie. Zaraz po zalogowaniu pojawiała się propozycja 10 lokalizacji z konkretną datą i godziną podania oraz nazwą szczepionki.

W przypadku osób zamieszkujących w Warszawie lub innych wielkich miastach, na podstawie danych z systemu nie dało się ustalić szczegółowego miejsca zamieszkania danej osoby. Ale jeśli chodzi o zameldowanych w małych miasteczkach i wsiach, dane pozyskane z rządowego systemu pozwalały w niektórych przypadkach odkryć miejsce zamieszkania konkretnej osoby.

Co ciekawe - w przypadku osób, które chciały się zapisać na dawkę przypominającą, system umożliwiał tylko zalogowanie się przez Profil Zaufany. Przez co dodatkowo pozwalał zidentyfikować osoby, które nie przyjęły dotąd żadnej dawki szczepionki. W jaki sposób? Bo osoby, które zaszczepiły się pierwszą, drugą lub trzecią dawką, otrzymywały ten sam komunikat: "Rejestracja nie jest możliwa. Jeżeli rejestrujesz się na szczepienie przeciw COVID-19 dawką przypominającą lub dodatkową skorzystaj z rejestracji z Profilem Zaufanym".

System miał też inne błędy. Po pierwsze, na jedną osobę można było zalogować się z wielu różnych telefonów. Po drugie, z jednego telefonu można było logować się na konta nieskończenie wielu osób.

Wirtualnej Polsce udało się przeprowadzić kilkaset skutecznych logowań na rządowej stronie rejestracji wizyt. Do wszystkich wykorzystano ten sam numer telefonu. W niektórych przypadkach logowano się co kilkanaście sekund. W żadnym przypadku system nie odmówił dostępu, nie zablokował strony ani możliwości logowania z użyciem tego samego numeru telefonu.

Pełna treść artykułu znajduje się tutaj