Koronavírus: több millió teszteredmény került veszélybe

​Indiában több millió laborvizsgálati eredmény vált teljesen kiszolgáltatottá, mivel nem sikerül biztonságosan megoldani a koronavírus teszteredmények kezelését.
 

Az egészségügyi adatok biztonságosa egyre több országban válik kiemelt szemponttá. Ennek ellenére továbbra is lehet találkozni olyan esetekkel, amikor nem megfelelően kivitelezett informatikai rendszerek miatt emberek millióinak adatai válnak kiszolgáltatottá. Egy ilyen problémára hívta fel a figyelmet Sourajeet Majumder biztonsági kutatói is, aki az indiai kormány által üzemeltetett webes szolgáltatás esetében tárt fel egy igencsak aggasztó rendellenességet.
 
Az indiai kormány a koronavírus tesztelésben résztvevőket SMS-ben is értesíti olyan módon, hogy az üzenetbe egy linket helyez el. A biztonsági kutató ezt az URL-t vette alaposabban is szemügyre. Ekkor jött rá, hogy a linkben szereplő paraméter egy base64 kódolással ellátott azonosítót takar, amelyet egyszerű dekódolni. Az igazi problémát azonban az jelentette, hogy a kódolással elfedett azonosító valójában egy folyamatosan növekvő számsor része volt. Ezért aztán bárki szabadon generálhatott URL-eket, amelyek minden szó nélkül visszaadták az ahhoz tartozó laboreredményket. Egy ilyen link hasonlóan nézett ki:
https://cpms.[...].gov[.]in:8003/Covid19.aspx?SRFID=XXXXXX1
 
A biztonsági szakértő még tovább ment, és arra is rájött, hogy a weboldal fejlesztői a base64 kódolást csak opcionálisan használták, és az URL-ek a generált számsorok egyszerű megadásával is minden probléma nélkül működtek. Így aztán automatizált eszközökkel mindenféle nehézség nélkül lehetett végig pásztázni és letölteni a teszteredményeket. Egyes becslések szerint e "konstrukció" miatt legalább nyolcmillió személy laboreredményeibe lehetett betekintést nyerni. Ezek pedig tartalmazták a nevet, életkort, születési dátumot, lakcímet, a vizsgálat helyét és a teszteredményt is.