Haberler

Walgreens’in özensiz Covid-19 test kayıt sistemi hasta verilerini nasıl ifşa etti?

Walgreens'in özensiz Covid-19 test kayıt sistemi hasta verilerini nasıl ifşa etti?

Walgreens’te bir Covid-19 testi yaptırdıysanız, adınız, doğum tarihiniz, cinsiyet kimliğiniz, telefon numaranız, adresiniz ve e-posta adresiniz dahil olmak üzere kişisel verileriniz, potansiyel olarak herkesin görmesi ve toplamak için Walgreens’ sitesinde birden fazla reklam izleyici. Bazı durumlarda, bu testlerin sonuçları bile bu verilerden toplanabilir.

Veriye maruz kalma, Walgreens’in Covid-19 test hizmetlerini kurs boyunca kullanan veya kullanmaya devam eden milyonlarca insanı potansiyel olarak etkiler. pandemi.

Birden fazla güvenlik uzmanı Recode’a sitede bulunan güvenlik açıklarının ABD’deki en büyük eczane zincirlerinden birinin web sitesinin kaçınması gereken temel sorunlar olduğunu söyledi. Walgreens kendisini “testlerde hayati bir ortak” olarak tanıtmıştır ve şirkete bu testler için sigorta şirketleri ve hükümet tarafından geri ödeme yapılmaktadır.

Interstitial Technology PBC danışmanı olan Alejandro Ruiz, sorunları Mart ayında bir aile üyesinin Covid-19 testi yaptırmasından sonra keşfetti. Walgreens ile e-posta, telefon ve web sitesinin güvenlik formu aracılığıyla iletişim kurduğunu söylüyor. Şirketin yanıt vermediğini ve bunun onu şaşırtmadığını söylüyor.

“Sağlık verilerini işleyen bir uygulamada bu kadar temel hatalar yapan herhangi bir şirket, güvenliği ciddiye almayan şirkettir” diyor Ruiz dedim.

Recode, Walgreens’e yayınlamadan önce güvenlik açıklarını düzeltmesi için zaman verdi, ancak Walgreens bunu yapmadı.

Şirket Recode’a verdiği demeçte, “Gerekli veya uygun görüldüğünde ek güvenlik geliştirmelerini düzenli olarak inceliyor ve dahil ediyoruz” dedi.

İnsanların hassas verileri, kendi amaçları için kullanmaları için çok sayıda reklam ve veri şirketine maruz kalabilir veya verilerinin güvende olacağından emin değillerse Walgreens’ten Covid-19 testi yaptırmaları engellenebilir. Platformun güvenlik açıkları ayrıca, salgını durdurma çabalarına yardımcı olmayı amaçlayan teknolojinin, gizliliği ve güvenliği tam olarak hesaba katmayacak kadar hızlı ve dikkatsiz bir şekilde oluşturulduğuna veya uygulandığına dair başka bir örnektir.

Walgreens ayrıca şunu da söylemezdi. test kayıt platformunun bu güvenlik açıklarına ne kadar süredir sahip olduğu. En azından Ruiz’in onları keşfettiği Mart ayına kadar geri gidiyorlar ve muhtemelen bundan çok daha uzun bir süre. Walgreens, Nisan 2020’den bu yana Covid-19 testleri sunuyor ve internet arşivlerini tutan Wayback Machine, Temmuz 2020’ye kadar uzanan boş test onay veri sayfaları göstererek sorunun en azından o kadar eskiye dayandığını gösteriyor.

Sorunlar Walgreens’in Covid-19 test randevu kayıt sistemindedir ve Walgreens’ten test almak isteyen herkesin kullanması gerekir (reçetesiz bir test satın almadıkları sürece).

Bu sayfaya bağlantısı olan herkes sayfadaki bilgileri görebilir; hasta olduklarını doğrulamaya veya bir hesapta oturum açmaya gerek yoktur. Sayfa en az altı ay, hatta daha uzun süre etkin kalır.

“Walgreens’in insanların hassas bilgilerini korumak için uyguladığı teknik süreç neredeyse hiç yoktu”, gizlilik araştırmacısı ve analitik firması Victory’nin kurucusu Zach Edwards Medium, Recode’a söyledi.

Bu sayfaların URL’leri, “sorgu dizesi” olarak adlandırılan, URL’nin bir soru işaretiyle başlayan kısmında bulunan benzersiz bir hasta kimliği dışında aynıdır. 6.000’den fazla Walgreens test sitesinde bu kayıt sistemi kullanılarak milyonlarca test yapıldığından, muhtemelen milyonlarca aktif kimlik vardır. Recode’a konuşan güvenlik uzmanları, aktif bir kimliğin tahmin edilebileceğini veya kararlı bir bilgisayar korsanının, herhangi bir etkin sayfaya ulaşma umuduyla hızla URL’ler oluşturan bir bot oluşturabileceğini ve onlara, hesaplarını hacklemek için potansiyel olarak kullanabilecekleri kişiler hakkında biyografik bir veri kaynağı sağlayabileceğini söyledi. diğer sitelerde. Ancak, kimliklerde kaç karakter olduğu ve dolayısıyla kaç kombinasyon olduğu göz önüne alındığında, bu şekilde tek bir etkin sayfa bulmanın imkansıza yakın olacağını söylediler. milyonlarcası dışarıda.

Bu, örneğin, çalışanların internet etkinliklerini kaydeden bir işvereni veya tarayıcı geçmişine herkese açık veya paylaşılan bir bilgisayardan erişen birini içerebilir.

“Gizlilikle güvenlik, sağlık kayıtları için berbat bir modeldir,” Sean Yale’s Privacy Lab’ın kurucusu O’Brien, Recode’a söyledi.

Bu potansiyel sızıntıyı önemli ölçüde kötüleştiren şey, web sitesinde ne kadar veri depolandığı ve buna başka kimlerin erişebileceğidir. Herkese açık sayfalarda yalnızca hastanın adı, test türü ve randevu saati ve yeri görünür, ancak bundan çok daha fazlası perde arkasındadır ve herhangi bir tarayıcıdan erişilebilir.

Olduğu gibi. aşı randevuları, Walgreens testlerinden birine kaydolmak için çok fazla kişisel veriye ihtiyaç duyar: tam ad, doğum tarihi, telefon numarası, e-posta adresi, posta adresi ve cinsiyet kimliği. Ve bir tarayıcının geliştirici araçları panelinde birkaç tıklamayla, belirli bir hastanın sayfasına erişimi olan herkes bu bilgiyi bulabilir.

Walgreens'in randevu onay sayfasının arkasındaki JSON yükü. Walgreens’in onay sayfaları çok sayıda hassas kişisel bilgi içerir (bulanık).Walgreens’in laboratuvar ortaklarından en az birinin Covid-19 test sonuçları portallarından birinin test sonuçlarına erişmek için ihtiyaç duyacağı tüm bilgiler bu kadardı, ancak bir Recode muhabirinin kendikine baktığında yalnızca son 30 günün sonuçları mevcuttu.

Ruiz ve Recode’un konuştuğu diğer güvenlik uzmanları, Walgreens’in onay sayfalarına yerleştirdiği izleyici sayısı konusunda endişelerini dile getirdiler. Adobe, Akami, Dotomi, Facebook, Google, InMoment, Monetate ve veri paylaşım ortaklarından herhangi biri dahil olmak üzere bu izleyicilere sahip olan şirketlerin hasta kimliklerini alma olasılığını işaretlediler. Randevu sayfalarının URL’lerini bulun ve sahip oldukları bilgilere erişin.

Yale’nin “Yanlış kurulumu düşünmeden önce, randevu sistemine eklenen çok sayıda üçüncü taraf izleyici bir sorundur” dedi O’Brien.

Gizlilik araştırmacısı Edwards’ın analizi, bu şirketlerin birçoğunun randevu sayfalarından URI’ler veya Tekdüzen Kaynak Tanımlayıcıları aldığını buldu. Bunları alan şirket çok istekliyse, bunlar daha sonra hasta verilerine erişmek için kullanılabilir. Bu tür bir sızıntının Nisan 2020’de Wish, Quibi ve JetBlue gibi web sitelerinde keşfettiklerine benzer olduğunu, ancak bu durumlarda yalnızca e-posta adreslerinin sızdırıldığı için “çok daha kötü” olduğunu söyledi.

Çerez kullanımının gizlilik politikasında açıklandığını söylemek dışında Recode’un reklam izleyicileri hakkındaki sorularını ele almadı. Ancak, Recode ve Ruiz’in Walgreens’e tanımladığı sorun çerezler aracılığıyla izleme değildi ve şirket bu kendisine açıklandığında daha fazla yorum yapmadı.

“Bu, [bu türden net bir örnektir] güvenlik açığı], ancak Covid verileri ve tonlarca kişisel olarak tanımlanabilir bilgi ile, ”dedi Edwards. “Bu açık ihlali çürütmelerine şaşırdım.”

Ruiz’in aile üyesinin verileri ve potansiyel olarak milyonlarca başka hastanın verileri bugün hala güncelliğini koruyor.

“Kârını gizliliğimize göre önceliklendiren büyük bir şirketin başka bir örneği,” dedi.

Bir isteğimiz var

Böyle anlarda – insanlar çeşitleri ve aşıları anlamaya çalışırken ve çocuklar okula geri dönerken – birçok satış noktası ödeme duvarlarını kaldırıyor. Vox’un içeriği, kısmen okuyucularımızın finansal desteği nedeniyle her zaman ücretsizdir. Bir buçuk yıldan fazla bir süredir Covid-19 pandemisini takip ediyoruz. En başından beri amacımız kaosa açıklık getirmekti. İnsanları güvende kalmak için ihtiyaç duydukları bilgilerle güçlendirmek.

Önümüzdeki 30 gün içinde, Covid-19 krizi kapsamımızı ihtiyacı olan herkes için ücretsiz tutmaya yardımcı olmak için 2.500 bireysel katkı eklemeyi hedefliyoruz. Her birimiz en hasta komşumuz kadar sağlıklı olduğumuzdan, insanların pandemi hakkında net bilgilere ücretsiz olarak erişmesi çok önemlidir. Vox’a 3$ kadar az bir katkı yaparak hedefimize ulaşmamıza yardımcı olur musunuz? .

Click to comment

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Popüler Gönderiler

To Top