Εκατομμύρια αναφορές που περιέχουν αποτελέσματα τεστ για τον COVID-19 βρέθηκαν να είναι προσβάσιμες στο κοινό online λόγω σφάλματος σε μία εφαρμογή. Συγκεκριμένα έχουν εκτεθεί τουλάχιστον 8 εκατομμύρια τέτοιες αναφορές, με τη διαρροή να έχει αποδοθεί στο Τμήμα Υγείας και Πρόνοιας της Δυτικής Βεγγάλης της Ινδίας.
Τον Ιανουάριο, το BleepingComputer ανέφερε ότι πολλά sites της ινδικής κυβέρνησης διέρρεαν αναφορές αποτελεσμάτων τεστ που είχε κάνει μεγάλος αριθμός ανθρώπων για τον COVID-19. Τώρα, ο ερευνητής ασφαλείας Sourajeet Majumder ανακάλυψε ένα άλλο κυβερνητικό site που εκθέτει online εκατομμύρια τέτοια ευαίσθητα δεδομένα υγείας. Ειδικότερα, ο Majumder δήλωσε τα ακόλουθα: «Εντόπισα σφάλμα σε ένα site της ινδικής κυβέρνησης που οδήγησε στη διαρροή οποιουδήποτε τεστ γινόταν για τον COVID-19. Oι αναφορές που εκτέθηκαν περιλαμβάνουν ευαίσθητες πληροφορίες για τους πολίτες, όπως το όνομα, η ηλικία, η ημερομηνία και η ώρα του τεστ, καθώς και η διεύθυνση κατοικίας.»
Ο Majumder ανακάλυψε τη διαρροή βλέποντας τα περιεχόμενα ενός μηνύματος που στάλθηκε σε κάποιον που έκανε τεστ για τον COVID-19. Η δομή του URL στο μήνυμα που οδηγούσε στο αποτέλεσμα του τεστ, περιλάμβανε έναν αριθμό ταυτότητας αναφοράς με κωδικοποίηση base64 (“SRF ID”).
Σύμφωνα με το BleepingComputer, ο κωδικός αναφοράς base64 θα μπορούσε να αποκωδικοποιηθεί σε μια απλούστερη αριθμητική μορφή, αυξημένος / μειωμένος για την κατασκευή νέων συνόλων URLs που θα επέτρεπαν την πρόσβαση στα αποτελέσματα των τεστ COVID-19 άλλων ασθενών.
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Αποκαλύψεις για τον Μεγαλύτερο Κρατήρα του Φεγγαριού
Ο Majumder παρατήρησε επίσης ότι η κωδικοποίηση base64 που εφαρμόστηκε στο αριθμητικό αναγνωριστικό ήταν προαιρετική και η απομάκρυνσή της δεν επηρέασε τη δυνατότητα ανάκτησης των αναφορών.
Με αυτόν τον τρόπο, ο ερευνητής απέδειξε ότι κακόβουλοι παράγοντες θα μπορούσαν να αποκτήσουν πρόσβαση στα αποτελέσματα των τεστ για τον COVID-19 εκατομμυρίων ανθρώπων, απλώς απαριθμώντας τις εξής διευθύνσεις URL:
- https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX1
- https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX2
- https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX3
Καθεμία από τις αναφορές που διέρρευσαν online περιέχει το όνομα του ασθενούς, την ηλικία, το φύλο, τη μερική διεύθυνση του σπιτιού, το αποτέλεσμα του τεστ COVID-19, την ημερομηνία του τεστ, το αναγνωριστικό αναφοράς και λεπτομέρειες σχετικά με την τοποθεσία του εργαστηρίου όπου έγινε το τεστ. Αυτά τα δεδομένα διέρρευσαν στο domain wbhealth.gov.in. Παρόλα αυτά, το ζήτημα επιλύθηκε. Έτσι, τα URL endpoints που προηγουμένως διέρρεαν τις αναφορές για τον COVID-19, τώρα εμφανίζουν το μήνυμα 404 (Not Found).
Ο Δρ. Sushant Roy, αξιωματούχος υγείας που διορίστηκε από την ινδική κυβέρνηση και είναι υπεύθυνος για την εποπτεία της κατάστασης του COVID-19 στη Βόρεια Βεγγάλη, αναγνώρισε επίσης τη διαρροή.
Σε μια δήλωσή του, ο Roy ανέφερε ότι πληροφορίες όπως τα δεδομένα των αποτελεσμάτων των τεστ για τον COVID-19 προορίζονται να διατηρηθούν εμπιστευτικές, ειδικά για τη διαφύλαξη του απορρήτου των ανθρώπων που νοσούν με COVID-19. Πρόσθεσε ακόμη ότι η κυβέρνηση παρέχει τέτοιες πληροφορίες μόνο στα μέλη της οικογένειας του κάθε ασθενούς.
Επιπλέον, ο Roy εξέφρασε την έκπληξή του για το ελάττωμα του συστήματος που οδήγησε στην έκθεση τέτοιων ευαίσθητων κι εμπιστευτικών δεδομένων, επισημαίνοντας ότι θα ληφθούν άμεσα μέτρα για την διόρθωση του προβλήματος.
Αυτή δεν είναι η πρώτη φορά που τα αποτελέσματα τεστ COVID-19 διαρρέουν στο διαδίκτυο. Προηγουμένως είχαν διαρρεύσει τα αποτελέσματα εξετάσεων ασθενών από πολλά ανεξάρτητα εργαστήρια, λόγω μιας λανθασμένης εφαρμογής κώδικα QR που θα μπορούσε να επιτρέψει σε απειλητικούς παράγοντες να απαριθμήσουν τα URLs των αποτελεσμάτων των τεστ.