abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 00:33 | Nová verze

GNU Debugger aneb GDB byl vydán ve verzi 10.1. Nově lze ladit BPF programy. GDBserver podporuje ARC GNU/Linux a RISC-V GNU/Linux. Podporován je HTTP server debuginfod.

Ladislav Hagara | Komentářů: 0
23.10. 22:22 | Komunita

RIAA (Recording Industry Association of America) podala DMCA požadavek (DMCA takedown notice) na zastavení šíření zdrojových kódů youtube-dl na GitHubu. Pomocí youtube-dl lze z YouTube stáhnout autorská díla určená pouze pro YouTube.

Ladislav Hagara | Komentářů: 153
23.10. 17:00 | Komunita

V 18:00 proběhne živě představení Ubuntu pro Raspberry Pi na YouTube.

Ladislav Hagara | Komentářů: 0
23.10. 07:00 | Nová verze

Byla vydána nová verze 13.5 softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech GitLab (Wikipedie). Představení nových vlastností i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0
22.10. 21:33 | Nová verze

Oficiálně bylo vydáno Ubuntu 20.10 s kódovým názvem Groovy Gorilla. Přehled novinek v poznámkách k vydání. Zdůrazněn je Ubuntu Desktop pro Raspberry Pi.

Ladislav Hagara | Komentářů: 5
22.10. 17:00 | IT novinky

Java edice počítačové hry Minecraft bude vyžadovat účet u Microsoftu (YouTube). Podrobnosti ve FAQ.

Ladislav Hagara | Komentářů: 25
22.10. 16:00 | Nová verze

Byla vydána nová vývojová verze datového formátu a souvisejících nástrojů Relational pipes. Hlavní novinkou verze v0.17 je výstupní modul pro JACK, kterým lze posílat MIDI zprávy do zvukových karet a syntezátorů, dále pak podpora práce s porty JACK systému, vylepšené CLI rozhraní několika nástrojů a přejmenování modulu relpipe-tr-guile na relpipe-tr-scheme.

xkucf03 | Komentářů: 0
22.10. 15:55 | Komunita

Probíhá online konference AstriCon 2020, tj. konference vývojářů a uživatelů svobodné softwarové implementace telefonní ústředny (PBX) Asterisk (Wikipedie). Při této příležitosti byl vydán Asterisk ve verzi 18.0.0.

Ladislav Hagara | Komentářů: 0
22.10. 07:00 | Nová verze

Linuxová distribuce SystemRescueCd byla s novou verzí 7.00 přejmenována na SystemRescue. Začleněn byl balíček dislocker pro přístup k diskům zašifrovaným pomocí BitLockeru (#46).

Ladislav Hagara | Komentářů: 0
21.10. 17:33 | Komunita

Projekt Debian daroval 10 000 dolarů neziskové organizaci Framasoft na její crowdfundingovou kampaň na podporu vývoje PeerTube, tj. svobodné federalizované platformy pro sledování a sdílení videí, alternativy YouTube s podporou P2P. Cílem je podpora živého přenosu (live streaming).

Ladislav Hagara | Komentářů: 84
Které aspekty uživatelského rozhraní textového editoru považujete za důležité?
 (71%)
 (36%)
 (33%)
 (17%)
 (24%)
 (16%)
Celkem 217 hlasů
 Komentářů: 21, poslední 23.10. 17:33
Rozcestník

Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku

Společnost Nethemba informuje o již opravené kritické zranitelnosti v aplikaci Moje eZdravie na Slovensku. Kdokoli si mohl stáhnout informace o všech osobách testovaných na COVID-19 (jméno, příjmení, rodné číslo, telefonní číslo, místo pobytu, datum a výsledek odběru).

17.9. 15:44 | Ladislav Hagara | Zajímavý článek


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

David Heidelberg avatar 17.9. 15:59 David Heidelberg | skóre: 46 | blog: blog_
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
:-D ... jen se chci podělit o svůj záchvat smíchu. Tak to dopadá, svěřit svá data nekompetentnímu zpracovateli..
17.9. 16:10 Liska
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Taky se směju. Pamatuji si po "sametovém" převratu že byly ve městech na každém vchodu seznamy voličů se stejnými daty.... Jenom vzpomínka :-))
otula avatar 18.9. 09:12 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Naše SVJ mělo podobně zabezpečené stránky. Byla tam „neveřejná“ stránka, která vyžadovala heslo, ale na to, jak to obejít, by přišlo i dítě. Bylo tam 8 různých stránek, přičemž jejich URL adresa byla index.php?strana=18, přičemž strana 7 v menu chyběla. Stačilo ji tedy zadat do URL a člověk byl bez hesla na té utajované stránce :-D
Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.
18.9. 16:16 m.
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Nejlepsi je jeste takovou stranku zminit v robots.txt, protoze co kdyby to google chtel nahodou naindexovat :-D (uz sem to taky zazil).
otula avatar 18.9. 17:59 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
:-D
Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.
20.9. 09:05 Ptr
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
svěřit svá data nekompetentnímu zpracovateli..
Státu? :-D
xvasek avatar 17.9. 16:54 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Škoda, že to opravili. Aspoň se daly konečně získat nějaká trochu lepší data. Jinak já bych evidoval ještě pravděpodobný datum nákazy, pravděpodobný způsob nákazy (v práci / nákup / diskotéka), profesi a možná by mě napadlo ještě něco dalšího. S takovými daty by Covid byl už jenom námětem vášnivých diskusí na dezinformačních webech.
Max avatar 17.9. 17:24 Max | skóre: 69 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Teď je otázkou, kde nastala skutečně chyba. Jsem myslel, že nasazením podobných app předchází např. penetrační testování.
Zdar Max
Měl jsem sen ... :(
pushkin avatar 17.9. 18:13 pushkin | skóre: 42 | blog: FluxBlog
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Já bych spíš tipoval, že nasazení podobných appek předchází spíchnutí horkou jehlou. Docela by mě zajímalo, jak by dopadla naše eRouška...
17.9. 20:33 Odin1918 | skóre: 5 | blog: Valhalla
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Desi mne, kolik zmanipulovanych lidi tomu sverilo sva data. :-(
18.9. 12:46 Odin
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Vy si myslite, ze to bolo dobrovolne? Jak boli ostestovani, tak vsetky data co dali hygiene sli automaticky do tej DB. Tie data su na urovni lekarskych zaznamov, akurat ich ochrana bola spravena tak klasicky po nasom - nijak.
18.9. 14:40 Andrej | skóre: 9
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
v tomto kontexte sa mi vemi paci dovod preco callcentra nemozu pomahat hygiene s trasovanim - callcentra nemaju prislusnu "previerku" na nakladanie s medicinskymi datami
Any sufficiently advanced magic is indistinguishable from technology. --Larry Niven
17.9. 20:41 MadCatX
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Job. Well. Done!

Teď zbývá počkat, za jak dlouho leaknou kompletní geolokační data z eRoušky.
17.9. 21:07 RB
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
eRouška AFAIK žádná geolokační data nesbírala. Posílala jen Bluetooth ID, s kterými se člověk potkal, a měla spárované telefonní číslo s BID uživatele, aby se mu mohla hygiena ozvat. u eRoušky 2 už tam nefiguruje ani to telefonní číslo. Mělo by to fungovat tak, že aplikace si lokálně ukládá BID, s kterými se potkala. Když je člověk nakažený, tak teprve v ten moment odevzdá svoje BID, které se zapíše do databáze, kterou si aplikace pravidelně stahují a pokud najdou shodné BID v lokální databázi, nahlásí uživateli kontakt s nakaženým. A to BID se AFAIK pravidelně mění, aby to nebylo tak jednoduše trasovatelné.
17.9. 21:59 BFU
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Proc vlastne je potreba nejaka aplikace, kdyz jak A tak G na to maji primo v OS podporu, viz:

https://rosenzweig.io/blog/fun-and-games-with-exposure-notifications.html
17.9. 22:12 BFU
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Odpovim si sam, ta aplikace je podle vseho jenom nejaky frontend pro to Exposure Notification API.
17.9. 21:31 Mennion
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Jenom pro zábavu doporučuju mrknout na zdroják frontendu.

https://mojeezdravie.nczisk.sk/app/controllers.js

Konkrétně na funkci $scope.getNotificationsData = function (limit, offset) :D
18.9. 00:00 Jogurt
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
A co? Dělám to taky takhle a nikdo si nikdy nestěžoval
18.9. 11:31 Mennion
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Jako fakt Ti nepřijde divný psát takovýhle dotaz přímo na klientu? Když pominu, že zbytečně publikuješ databázové sechéma veřejnosti, tak si koleduješ o SQL injection. O tom, že tohle nějak udržovat a opravovat (třeba při změně datového modelu) musí být peklo na zemi.
18.9. 14:05 Jogurt
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Injekcí se nebojim, nejsem dítě.
mirec avatar 18.9. 18:39 mirec | skóre: 31 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku

Lenže toto je query websql, beží to len na klientovi a databáza je len u kleinta. Databázovú schému aj tak vidí klient a sql injection si môže urobiť max. tak sám na sebe.

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
19.9. 00:39 .
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
A proč je to v HTTP POSTu?
mirec avatar 19.9. 14:34 mirec | skóre: 31 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku

Aha, tak potom to je asi totálna zraniteľnosť. Keď som si spomínal na ten kód pripadalo mi to, že pracuje s websql a keď som na to chcel pozrieť druhý krát tak tam už zdroják nebol. Zle som si to pamätal, sorry ;) V tom prípade amatérizmus level najvyšší.

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
18.9. 08:50 AP
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
To je query do databázy? Čiže sa dá užívateľsky meniť?
18.9. 11:33 Mennion
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Tipnu si, že to bude query přímo do db.

Ani si nechci raději domýšlet, co by se stalo kdyby localStorageService.get('user_id') vracel OR 1=1
18.9. 10:17 chochi | skóre: 29 | Praha
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Te neni ani SQL Injection, to je primo SQL over HTTP.
18.9. 14:42 Andrej | skóre: 9
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
nemas niekde kopiu? dnes cela https://mojeezdravie.nczisk.sk/app/ nejako neodpoveda...
Any sufficiently advanced magic is indistinguishable from technology. --Larry Niven
18.9. 15:43 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Opýtaj sa Debiana, možno bude blog s obrázkom.
18.9. 21:30 jiwopene | skóre: 24
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
.sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.
20.9. 20:09 Andrej | skóre: 9
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
hmm, dalsie relevantne subory tam ale nie su. Fakt to nema niekto stiahnute cele (nemyslim data, ale tie skripty)?
Any sufficiently advanced magic is indistinguishable from technology. --Larry Niven
18.9. 08:48 /dev/random
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
nemate niekto dump ? :D
18.9. 11:44 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Krásna ukážka GDPR v praxi.

Zaujímalo by ma kto bol za toto zodpovedný, kto zaplatí nápravu, komu vyrúbia pokutu za porušenie GDPR a kto tú pokutu v konečnom dôsledku aj zaplatí.

Pevne verím že zodpovedného úradníka neuoracú do iného úradu (aj s eventuálnym povýšením), že dodávateľ neodvrkne "na porušovanie záväzných nariadení EK sa nevzťahuje záruka" a že si daný úrad nepožiada o navýšenie dotácií o minimálne hodnotu pokuty aj s úrokmi.

#Z_Našich_Daní
18.9. 12:52 Gloglo
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Toto by som uz uradnikovi az tak neprisival, snad len ak nedal spravit bezp. audit zdrojakov. Toto je uz vyslovene na basu pre programatora a navrhara. Je to podobne, ako keby robos na stavbe miesto cementu a malty daval miestami len hlinu alebo papier.
18.9. 13:31 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Úradník to mal skontrolovať. Keď nevedel ako, tak nemal vykonávať danú funkciu. Je jedno či sa jedná o úradníka z daného ministerstva, alebo o externého konzultanta v rámci auditu ktorý bol priložený ku preberaciemu protokolu.

Každopádne pochybilo ministerstvo. A doplatíme na to všetci, hlavne platiči daní ktorí sme sa na tejto chybe nepodieľali.
18.9. 17:59 Glagla
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
V prvom rade pochybil programator a navrhar projektu / infry. Tam je najvacsia cast viny. Potom su uradnici. Keby to bolo vsetko na uradnikoch, to je ako keby ste povedali, ze v pripade trestnych cinov zlyhali policajti, lebo neriesili prevenciu a nie ten, co ten trestny cin spacha.

Proste najprv programator (hlavne pri tomto type chyby) a potom uradnik. Predpokladam, ze interne funguju tak, ze bezpecnost riesi uz programator a nie OPS.
20.9. 20:34 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Takže v takýchto prípadoch sa neschvaľuje návrh a dizajn, a na koniec sa to ani neskontroluje? To by tento problém síce vysvetlilo, ale neospravedlnilo.
xvasek avatar 18.9. 13:52 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Toto s GDPR nesouvisí. Implementací GDPR je směrnice, ne technické řešení. Proti GDPR by to bylo pouze pokud by tam například ta chyba byla záměrně, nebo pokud by probíhalo předávání osobních dat řízeně.
18.9. 14:06 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
GDPR je nariadenie EÚ ktoré mali členské štáty povinnosť už pred niekoľkými rokmi implementovať v rámci svojho zákonodarstva.

Nezdá sa mi že by podľa tvojho vyjadrenia stačilo povedať že tá chyba nebola zámerná, a daný výrok by oslobodil páchateľa. Ale prezraď aké myšlienkové pochody ťa viedli k takémuto vyjadreniu.
cezz avatar 18.9. 16:30 cezz | skóre: 24 | blog: dm6
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
V ramci GDPR je tiez povinnost mat jasne definovane pravidla ako s datami pracujes, kde su dostupne a ako su chranene. Cize aj keby chyba samotna nebola zamerna, je mozne ze k nej doslo zamernym nedodrzovanim procesov ktore musia mat definovane.
Computers are not intelligent. They only think they are.
xvasek avatar 24.9. 16:45 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Ne, tak to nemyslím. Myslím to tak, že takovýto únik byl trestný před GDPR, resp. je trestný nezávisle na GDPR. Samotné GDPR přineslo spoustu dalších pravidel (výmaz dat, zákaz předání bez vědomí, povinnost mít v některých případech směrnici nebo pověřeného člověka...), ale samotný princip ochrany osobních údajů už jsme tady měli přece dřív a máme jej pořád.
18.9. 14:07 dužan
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Tak to ani piču, tohle se musí normálně nahlásit jako incident a při zjištění nedbalosti následuje pokuta.
xvasek avatar 24.9. 16:38 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
To samozřejmě jo, ale takto to bylo už _před_ GDPR a samotné GDPR na tomto v principu nic nemění.
20.9. 09:15 Ptr
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Tak to ne, postihuje se i nedbalost.
18.9. 16:20 m.
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Z vasich otazek je jasne videt, ze jste GDPR ani necetl.
19.9. 08:35 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Kritická zranitelnost v aplikaci Moje eZdravie na Slovensku
Z vášho príspevku je jasné, že ste sa na základnej škole nenaučil či sa otázka končí otáznikom.

Založit nové vláknoNahoru


ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.