Wyciek danych ujawnił wyniki testów
18 marca 2021
Co najmniej 136.000 wyników szybkich testów na Covid-19 od tygodni jest ogólnie dostępnych w sieci. „Sueddeutsche Zeitung", „Rundfunk Berlin-Brandenburg" i „Wiener Standard" donoszą o luce w oprogramowaniu w ośrodkach przeprowadzających testy na koronawirusa, powołując się na analizę przeprowadzoną przez zespół ekspertów Zerforschung i Chaos Computer Club (CCC).
Wraz z wynikami testów, w Internecie znaleziono dane umożliwiające jednoznaczną identyfikację osoby testowanej, takie jak nazwisko, adres, obywatelstwo, numer telefonu komórkowego, płeć, adres e-mail, a w niektórych przypadkach także numer dowodu osobistego. Mogło dojść do pobrania danych przez osoby nieuprawnione. Aby to zrobić, wystarczyło założyć konto w centrum testowym i dostać się do przeglądarki internetowej w takim ośrodku.
Łatwy dostęp do wrażliwych danych
Druga luka w zabezpieczeniu oprogramowania umożliwiała przeglądanie statystyk dotyczących aktualnej liczby wyników pozytywnych i negatywnych w ośrodkach, a także, przy odrobinie wysiłku, zdjęć kodów QR, które otrzymali badani, wraz z wynikiem testu. Obie luki w zabezpieczeniach zostały naprawione w zeszłym tygodniu.
Błędy najwyraźniej tkwiły w oprogramowaniu Safeplay austriackiej firmy Medicus AI. Wiele punktów pobrań używa tego programu do przydzielania terminów i udostępniania wyników w formie cyfrowej osobom testowanym. Szczególnie dotknięte zostały punkty prowadzone przez monachijską firmę 21Dx w Monachium, Berlinie, Mannheim i Klagenfurcie w Austrii.
Po odkryciu błędów, Zerforschung i CCC powiadomiły Federalny Urząd Bezpieczeństwa Informacji (BSI), który z kolei poinformował firmę Medicus AI. Jej przedstawiciele przyznali w rozmowie z „Sueddeutsche Zeitung", że luka w zabezpieczeniach została „spowodowana przez błąd w aktualizacji oprogramowania z połowy lutego". Zdaniem BSI „aktualnie nie ma żadnych przesłanek wskazujących na to, że luka została wykorzystana w niewłaściwy sposób".
(AFP/sier)