Zranitelnost zabezpečení na webu testování na COVID-19 umožňovala přístup k informacím o uživatelích

Podle nových zpráv společnost California Testing Solutions se sídlem v Kalifornii odstranila webovou stránku, která zákazníkům umožňovala přístup k jejich výsledkům testů poté, co zákazník zjistil chybu zabezpečení, která umožňovala přístup k osobním informacím jiných lidí.

Společnost Total Testing Solutions, která má 10 testovacích míst COVID-19 v Los Angeles, zpracovává každý týden „tisíce“ testů na COVID-19 na pracovištích, sportovištích a ve školách. Když jsou výsledky testů připraveny, zákazníci dostanou e-mail s odkazem na web, kde mohou získat své výsledky.

Podle TechCrunch zákazník tvrdil, že našel chybu zabezpečení webové stránky, která mu umožňovala přístup k informacím jiných zákazníků zvýšením nebo snížením čísla v adrese webové stránky o jednu číslici, což zákazníkovi umožnilo vidět jména ostatních zákazníků a datum jejich testu.

Zákazník předal podrobnosti o chybě zabezpečení společnosti TechCrunch v naději, že chybu zabezpečení opraví dříve, než ji najde nebo zneužije někdo jiný. TechCrunch ověřil zjištění zákazníka, ale přestože nevyčíslili každý kód výsledku, omezené testování zjistilo, že bezpečnostní chyba pravděpodobně vystavila riziku kolem 60 000 testů. TechCrunch pak oznámil chybu hlavnímu lékaři společnosti Geoffrey Trenkleovi, „který nezpochybnil počet objevených testů, ale uvedl, že expozice byla omezena na server na místě, který slouží k poskytování výsledků starších testů, které byly od té doby vypnuty a nahrazeny novým cloudovým systémem, “říká TechCrunch.

Trenkle v prohlášení uvedl: „Nedávno jsme byli upozorněni na potenciální bezpečnostní chybu našeho bývalého místního serveru, která by umožňovala přístup k určitým jménům pacientů a výsledkům pomocí kombinace manipulace s URL a programovacích kódů data narození. Tato chyba zabezpečení byla omezena na informace o pacientech získané na veřejných testovacích webech před vytvořením cloudového serveru. V reakci na tuto potenciální hrozbu jsme okamžitě vypnuli místní software a zahájili migraci těchto dat do zabezpečeného cloudového systému, abychom zabránili budoucímu riziku narušení dat. Zahájili jsme také posouzení zranitelnosti, včetně kontroly protokolů přístupu k serveru za účelem zjištění jakékoli nerozpoznané síťové aktivity nebo neobvyklých selhání ověřování. “

Trenkle odmítl říci, kdy se cloudový server stal aktivním a proč měl údajně starší server výsledky testů ještě minulý měsíc. V současné době si TTS není vědoma žádného porušení nezabezpečených chráněných zdravotních informací v důsledku problémů s předchozím serverem. Pokud je nám známo, nebyly ve skutečnosti ohroženy žádné informace o zdravotním stavu pacienta a veškeré riziko bylo do budoucna zmírněno. “

Purandar Das, spoluzakladatel a chief security evangelist ze společnosti Sotero, společnosti zabývající se zabezpečením založenou na šifrování, říká: „Toto je další příklad špatné bezpečnostní praxe. Když organizace spěchají se zpeněžením, bezpečnost a ochrana dat jsou obvykle první obětí. Týká se to případů, kdy organizace nemají přísné bezpečnostní postupy a závazek chránit soukromí svých zákazníků. Jak společnost sama uvádí přesun dat do bezpečnější cloudové služby, okamžitě vyřešila tuto chybu zabezpečení. Je to také známka toho, že regulační a finanční tlak neřeší tuto epidemii ztráty dat o zákaznících a spotřebitelích. Je třeba to vidět ve světle toho, že spotřebitelé trpí obrovskou škodou na dobré pověsti a financemi, zatímco organizace po ztrátě informací kvůli špatným postupům a rozpočtovým omezením pokračují v podnikání. “

Autor původního článku: Neznámý
Překlad: Ondřej Strachota