Masowe błędy i wycieki danych z baz paszportów szczepionkowych COVID-19

Masowe błędy i wycieki danych z baz paszportów szczepionkowych COVID-19

Paszporty szczepionkowe budzą żywe reakcje, a przeciwnikom takich rozwiązań ciągle dostarczane są nowe argumenty do dyskusji, w postaci błędów, albo rażących problemów z bezpieczeństwem danych. Według raportu The Telegraph w samej tylko Wielkiej Brytanii aż 700000 paszportów zawiera błędy, często uniemożliwiające podróżowanie, a w Indonezji ujawniono właśnie wyciek danych ponad 1,3 miliona zaszczepionych osób.

W Wielkiej Brytanii ujawniono 677331 incydentów, w których rejestry szczepień NHS COVID musiały zostać skorygowane. Urzędnicy NHS przyznali również, że musieli usunąć 122939 rekordów z powodu błędów. Liczby te to zapewne tylko wierzchołek góry lodowej, ponieważ większość błędów wykryto, gdy ludzie próbowali korzystać z przepustki COVID w podróżach międzynarodowych. Kiedy wymóg posiadania paszportu obejmie miejsca publiczne, może zostać wykrytych więcej błędów.

Kolejne kraje zmagają się z problemami paszportów szczepionkowych. W Wielkiej Brytanii są masowe błędy i braki w historii szczepień, które niektórzy rozwiązują przyjmując nadplanową dawkę. W Indonezji natomiast doszło do wycieku danych 1,3 mln osób podróżujących z i do kraju - wyciekły dane wrażliwe, włącznie ze zdjęciami.

Źródła The Telegraph opisują, że przepadły im wyjazdy wakacyjne za granicę z powodu błędu rządowego systemu, a rozwiązaniem jest często... przyjęcie trzeciej dawki szczepionki, która w systemie pokazuje się jaki druga. Profesor matematyki z Uniwersytetu Oksfordzkiego, Dan Ciubotaru, nie mógł doprosić się, żeby w aplikacji NHS Pass pojawiła się druga dawka szczepionki, aby mógł odwiedzić swojego ojca w Rumunii. Musiał wielokrotnie dzwonić i wysyłać e-maile, a także grozić, że zarezerwuje trzecią dawkę, żeby ominąć problem. Dyrektor firmy technologicznej z Londynu próbował podejmował w ciągu 5 miesięcy ponad 100 prób kontaktu w sprawie poprawy jego historii szczepień. W końcu przyjął trzecią dawkę, która pojawiła się jako drugi zastrzyk, co umożliwiło mu wyjazd.

Anonimowy kierownik ośrodka szczepień NHS potwierdził Telegraph, że większość błędów została odkryta dopiero po tym, jak w pełni zaszczepieni zaplanowali wyjazdy za granicę. W niektórych dużych ośrodkach, w których pracował, było aż 50 osób, które zgłosiły błędy w swojej historii przyjętych dawek. Aby uporać się z problemem błędów w rejestrach szczepień, który prawdopodobnie będzie się nasilał, NHS uruchomi usługę Rozstrzygania Danych o Szczepieniach, gdzie obywatele będą mogli udowodnić, że faktycznie się zaszczepili i uzupełnić swoje rejestry.

Z nieco innymi problemami zmaga się Indonezja.  W ramach indonezyjskiego programu zagrożeń zdrowia publicznego pasażerowie muszą wypełnić eHAC, aby wykrywać, zapobiegać i kontrolować sytuacje zagrożenia zdrowia publicznego w punktach wejścia (lotniska, porty morskie itp.). Władze Indonezji poinformowały jednak, że badają aplikację do testowania i śledzenia COVID-19 ze względu na potencjalne luki w zabezpieczeniach, które mogły ujawnić dane osobowe i stan zdrowia 1,3 miliona osób.

Wyciek z aplikacji COVID jest obecnie badany przez Ministerstwo Komunikacji i Informatyki Indonezji. Sprawa została zgłoszona  30 sierpnia przez witrynę zajmującą się przeglądem bezpieczeństwa vpnMentor, której zespół badawczy znalazł ujawnione zbiory danych wygenerowane przez popularną aplikację wymaganą u podróżnych wjeżdżających i wyjeżdżających z Indonezji.

Według badaczy vpnMentor, luka może narazić użytkowników na ataki phishingowe lub hakerskie. Analitycy byli w stanie "zmanipulować kryteriami wyszukiwania adresów URL w celu ujawnienia danych", używając tylko przeglądarki podczas uzyskiwania dostępu do danych eHAC, które w skrócie są "całkowicie niezabezpieczone i niezaszyfrowane". W swoich odkryciach naukowcy znaleźli informacje umożliwiające identyfikację osób, szczegóły podróży, dokumentację medyczną i informacje o COVID-19. Były też zapisy zawierające krajowe numery identyfikacyjne. 

Baza zawierała także zdjęcia

Nie jest to pierwsza wpadka systemów powiązanych ze szczepieniami. Nowojorska aplikacja Excelsior Pass, która pozwala osobom zaszczepionym uzyskać cyfrowy certyfikat szczepienia, zezwala na dostęp osobom nieuprawnionym, a internetowy system paszportów szczepionkowych Irlandii Północnej (COVIDCert NI) został niedawno tymczasowo zawieszony w związku z wyciekiem danych. 

Zobacz także:

Pokaż / Dodaj komentarze do: Masowe błędy i wycieki danych z baz paszportów szczepionkowych COVID-19

 0