加州一醫(yī)療初創(chuàng)公司的網(wǎng)站漏洞使大量COVID-19測(cè)試結(jié)果面臨泄露風(fēng)險(xiǎn)
一家位于加州的醫(yī)療創(chuàng)業(yè)公司在整個(gè)洛杉磯提供COVID-19測(cè)試,在一位客戶發(fā)現(xiàn)允許訪問(wèn)其他人的個(gè)人信息的漏洞后,該公司已經(jīng)關(guān)閉了一個(gè)用于允許客戶訪問(wèn)其測(cè)試結(jié)果的網(wǎng)站。Total Testing Solutions在整個(gè)洛杉磯有10個(gè)COVID-19測(cè)試點(diǎn),每周在工作場(chǎng)所、體育場(chǎng)館和學(xué)校處理"數(shù)千次"COVID-19測(cè)試。
當(dāng)測(cè)試結(jié)果準(zhǔn)備好后,客戶會(huì)收到一封電子郵件,其中有一個(gè)網(wǎng)站鏈接,以獲得他們的結(jié)果。
但一位客戶說(shuō),他們發(fā)現(xiàn)了一個(gè)網(wǎng)站漏洞,允許他們通過(guò)增加或減少網(wǎng)站地址中的一個(gè)數(shù)字來(lái)訪問(wèn)其他客戶的信息。這使得該客戶可以看到其他客戶的名字和他們的測(cè)試日期。該網(wǎng)站也只需要一個(gè)人的出生日期就可以訪問(wèn)他們的COVID-19測(cè)試結(jié)果,發(fā)現(xiàn)該漏洞的客戶說(shuō)"不需要很長(zhǎng)時(shí)間"就可以暴力破解,或者簡(jiǎn)單地猜測(cè)。(對(duì)于30歲以下的人來(lái)說(shuō),這只是11000次生日猜測(cè)而已)
雖然測(cè)試結(jié)果網(wǎng)站有一個(gè)登錄頁(yè)面,提示客戶提供他們的電子郵件地址和密碼,但允許客戶更改網(wǎng)址和訪問(wèn)其他客戶信息的網(wǎng)站漏洞部分可以直接從網(wǎng)上訪問(wèn),完全繞過(guò)了登錄提示。
通過(guò)有限的測(cè)試發(fā)現(xiàn),該漏洞可能使大約6萬(wàn)個(gè)測(cè)試處于危險(xiǎn)之中。TTS首席醫(yī)療官Geoffrey Trenkle確認(rèn)了這一漏洞,他對(duì)窮舉破解的漏洞沒(méi)有異議,但表示該漏洞僅限于一臺(tái)用于提供傳統(tǒng)測(cè)試結(jié)果的內(nèi)部服務(wù)器,該服務(wù)器后來(lái)被關(guān)閉并被一個(gè)新的基于云的系統(tǒng)取代。公司在一份聲明中說(shuō):"我們最近意識(shí)到我們以前的內(nèi)部服務(wù)器存在一個(gè)潛在的安全漏洞,它可能允許利用URL操作和出生日期編程代碼的組合來(lái)訪問(wèn)某些病人的名字和結(jié)果。"該漏洞僅限于在創(chuàng)建基于云的服務(wù)器之前在公共測(cè)試場(chǎng)所獲得的病人信息。為了應(yīng)對(duì)這一潛在的威脅,我們立即關(guān)閉了企業(yè)內(nèi)部的軟件,并開始將這些數(shù)據(jù)遷移到安全的云端系統(tǒng),以防止未來(lái)數(shù)據(jù)泄露的風(fēng)險(xiǎn)。我們還啟動(dòng)了漏洞評(píng)估,包括審查服務(wù)器訪問(wèn)日志,以檢測(cè)任何未被識(shí)別的網(wǎng)絡(luò)活動(dòng)或不尋常的認(rèn)證失敗。目前,TTS沒(méi)有發(fā)現(xiàn)由于其先前服務(wù)器的問(wèn)題而導(dǎo)致的任何不安全的受保護(hù)健康信息的泄露。據(jù)我們所知,實(shí)際上沒(méi)有病人的健康信息被泄露,而且所有的風(fēng)險(xiǎn)都已經(jīng)被減輕了。"
Total Testing Solution表示將遵守國(guó)家法律規(guī)定的法律義務(wù),但沒(méi)有明確表示該公司是否計(jì)劃通知客戶這一漏洞。雖然公司沒(méi)有義務(wù)向本州的總檢察長(zhǎng)或客戶報(bào)告漏洞,但許多公司出于謹(jǐn)慎而報(bào)告,因?yàn)椴⒉豢偸悄軌虼_定是否有不當(dāng)訪問(wèn)。