"Vyhodit pri spusteni," týmito slovami si programátor webu pre poisťovňu Dôvera označil časť kódu stránky vyhody.dovera.sk ešte pred jej uvedením do činnosti. "Echo 'tetete';" bol zase príkaz, ktorým skúšal, či jeho skript funguje. A do súboru test.php si nechal vypísať mená klientov a ich poistiek.
Testovacie súbory a hlavne ich obsah sa nikdy nemal dostať na verejnosť. Dostala ich tam zrejme chyba pri kopírovaní súborov z testovacieho servera na ostrý. Hocikto na internete sa tak mohol dostať k identifikačným číslam a menám 365 klientov zdravotnej poisťovne.
Chybu ešte v septembri 2009 objavil blogér a bezpečnostný konzultant Rasťo Turek a firmu Core4, dodávateľa webu pre poisťovňu, o tom mailom informoval. Chybu neodstránili ani mesiac po nahlásení. Zmizla až v piatok ráno po tom, čo o nej Turek informoval na Twitteri.
Dôvera: Už sa to nebude opakovať
"Prišlo k pochybeniu prevádzkovateľa nášho portálu vyhody.dovera.sk, a to tak, že omylom nestiahol testovací súbor, ktorý sme využívali práve na to, aby bola celá funkcionalita na portáli vyhody.dovera.sk otestovaná a bezpečná," povedala denníku SME Zuzana Horníková, PR manažér Dôvery.
"Hoci nešlo o únik databázy ani citlivých údajov poistencov, priznávame pochybenie a vážne zvažujeme právne kroky voči prevádzkovateľovi portálu," dodala s tým, že dúfa, že sa podobná situácia už v budúcnosti nebude opakovať.
"Ubezpečujeme poistencov, že zo zverejnených údajov sa nedá získať prístup k žiadnym citlivým dátam ako napríklad rodné číslo, zdravotný stav a medicínske údaje, takisto ani k informáciám z registra platiteľov a pod.". Z chyby tak pre nich nevyplýva "dôvod na obavy".
