„COVID-19“ stebėjimo programa „COVID Kaya“ nutekina duomenis
Nustatyta, kad mobilioji programa, skirta „Covid-19“ atvejų stebėjimo platformai, pavadinta „COVID Kaya“, yra nesaugi. Platformą naudojo gydytojai ir sveikatos priežiūros darbuotojai, norėdami sekti aktyvius Covid-19 atvejus Filipinuose.
Tyrėjai aptiko mobiliosios programos ir jos interneto sąsajos pažeidžiamumą ir saugumo spragas. Trūkumai leido potencialiems blogiems veikėjams susipažinti su asmenine sveikatos priežiūros darbuotojų informacija. Be to, galėjo būti atskleisti ir paciento duomenys. Atradimą padarė tyrėjai „The Citizen Lab“ - į saugumą orientuotame Toronto universiteto padalinyje.
Platforma „COVID Kaya“ buvo paleista 2020 m. Vasarą ir buvo sukurta tam, kad Filipinų sveikatos priežiūros darbuotojai galėtų nedelsdami gauti bendrą informaciją apie aktyvius „Covid-19“ atvejus ir koordinuoti šią informaciją su šalies sveikatos apsaugos ministerija. „COVID Kaya“ turėjo ir „iOS“, ir „Android“ versijas, taip pat sąsają prieigai prie žiniatinklio.
Mobiliosios programos buvo pagrįstos kodu, perkeltu naudojant „Cordova“ - kūrimo aplinką, leidžiančią eksportuoti į internetą orientuotas programas į mobiliuosius įrenginius.
„The Citizen Lab“ tyrėjai rado abiejų programų mobiliųjų versijų spragas, kurios potencialiems blogiems dalyviams leis pasiekti duomenis, kuriems paprastai reikia vartotojo prisijungimo duomenų. „Android“ ir internetinių platformų tyrėjai pranešė apie du saugumo spragas, kuriuos nuo to laiko užtaisė „COVID Kaya“ kūrėjų komanda.
Žiniatinklio saugumo trūkumas leido nesankcionuotai prisijungti prie API galinių taškų, taigi - neribotos prieigos prie tūkstančių sveikatos darbuotojų, kurie naudojosi „Kaya“ platforma, vardų. „Android“ versijoje kilo problema naudojant koduotus API kredencialus, kurie potencialiems blogiems veikėjams iš tikrųjų leido pasiekti asmeninę pacientų informaciją.
Laimei, „The Citizen Labs“ pranešti trūkumai buvo užtaisyti, o potencialiai išnaudojami įgaliojimai buvo išjungti.
Tai tik dar vienas duomenų saugumo klausimo, susijusio su Covid-19 pandemija, pavyzdys po daugybės sukčiavimo kampanijų, sukčiavimo, kenkėjiškų programų ir mobiliųjų sukčių, kurios kažkaip išnaudojo pasaulinę situaciją.
