Bug keamanan aplikasi kesehatan map mengungkap catatan vaksin COVID-19 – TechCrunch

kesalahan keamanan Dalam Aplikasi Dokumen Kesehatan Ini mengungkapkan informasi tentang penduduk yang divaksinasi terhadap COVID-19 di New Jersey dan Utah, di mana aplikasi tersebut telah menerima persetujuan dari pejabat negara bagian.

Docket memungkinkan penduduk untuk mengunduh dan mengunggah salinan digital imunisasi mereka dengan menarik catatan imunisasi mereka dari otoritas kesehatan negara bagian mereka. NS salinan digital Ini memiliki informasi yang sama dengan kartu kertas COVID-19, tetapi ditandatangani secara digital oleh negara untuk mencegah penipuan. Doket adalah salah satu Beberapa yang disebut paspor vaksin Di Amerika Serikat, mengizinkan penduduk untuk menunjukkan catatan vaksinasi mereka – atau kode QR yang dapat dipindai – untuk memasuki acara, restoran, atau negara transit yang memerlukan vaksinasi.

Tetapi untuk sementara waktu, aplikasi ini memungkinkan siapa saja untuk mengakses kode QR untuk pengguna yang divaksinasi — dan semua informasi pribadi dan vaksin yang dikodekan di dalamnya. Ini termasuk nama, tanggal lahir dan informasi tentang status vaksinasi COVID-19 orang tersebut, seperti jenis vaksin yang mereka miliki dan kapan.

TechCrunch menemukan kesalahan pada hari Selasa dan segera menghubungi perusahaan. CEO Docket Michael Beretta mengatakan cacat itu diperbaiki di tingkat server setelah beberapa jam.

Bug ditemukan dalam cara aplikasi Docket meminta kode QR pengguna dari servernya. Kode QR pengguna dibuat di server dalam bentuk kartu kesehatan SMART, yang merupakan standar yang diterima secara luas untuk memeriksa status vaksinasi seseorang di seluruh dunia. Kode QR ini dikaitkan dengan ID pengguna, dan tidak terlihat dari aplikasi, tetapi dapat dilihat dengan melihat lalu lintas jaringannya menggunakan program siap pakai seperti Burp Suite atau Charles Proxy.

Tetapi server Docket tidak diperiksa untuk memastikan orang yang meminta kode QR diizinkan untuk memintanya. Ini berarti bahwa setiap pengguna aplikasi dapat mengubah ID pengguna mereka sendiri dan meminta kode QR orang lain. Lebih buruk lagi, ID pengguna Docket digabungkan, sehingga kode QR baru dapat dihitung hanya dengan mengubah ID pengguna dengan satu digit.

Tidak diketahui apakah ada orang lain yang menemukan kesalahan tersebut. Beretta mengatakan perusahaan sedang meninjau catatan untuk menentukan apakah ada aktivitas jahat di platform. Beretta juga mengatakan bahwa perusahaan sedang bekerja untuk memberi tahu pemerintah negara bagian tentang bug tersebut, tetapi tidak mengatakan apakah perusahaan berencana untuk memberi tahu penggunanya tentang pemadaman keamanan.

Nancy Kearney, juru bicara Departemen Kesehatan New Jersey, mengatakan dalam sebuah pernyataan:

Departemen Kesehatan New Jersey diberi tahu oleh vendor, Docket, tentang kerentanan yang terkait dengan versi terbaru kode QR yang terkait dengan aplikasi. Docket meyakinkan manajemen bahwa mereka mengidentifikasi dan memperbaiki kerentanan dalam kode. Tidak ada fungsi lain dari aplikasi yang terpengaruh. Privasi dan keamanan pengguna Docket tetap yang terpenting. Saat ini, Docket sedang menyelidiki indikasi kemungkinan catatan yang dapat disusupi. Manajemen terus bekerja dengan Docket untuk memastikan kewaspadaan yang berkelanjutan atas masalah ini.

Seorang juru bicara Departemen Kesehatan Minnesota juga tidak menanggapi. (Docket tersedia untuk penduduk Minnesota, tetapi negara bagian belum merilis kode QR.)

Tom Hodachko, juru bicara Departemen Kesehatan Utah, mengatakan:

Departemen Kesehatan Utah berkomitmen untuk memastikan privasi penduduk Utah dan mengharapkan kontraktor dan mitranya untuk mempertahankan komitmen yang sama. Duckett memberi tahu kami [Tuesday] Kesalahan dalam sistemnya dapat memungkinkan pengguna untuk menerima informasi pribadi pengguna lain. Docket meyakinkan kami bahwa mereka mengidentifikasi penyebab kesalahan dan menyelesaikan masalah.

“Kami bekerja dengan Docket dan tim keamanan data kami untuk mengidentifikasi pengguna yang mungkin telah membagikan informasi mereka secara tidak tepat dan memberikan pemberitahuan yang sesuai kepada orang-orang ini,” kata Hudachko.

Tetapi pertanyaan tetap ada tentang bagaimana bug itu masuk sejak awal. Tidak diketahui secara pasti berapa banyak catatan orang yang divaksinasi dan siapa yang berisiko. Pekan lalu, Docket mengatakan dalam tweet yang telah dihapus, bahwa itu telah mencapai 1 juta pengguna. New Jersey dan Utah memiliki gabungan 8,5 juta penduduk yang telah menerima setidaknya satu dosis vaksin COVID-19 pada saat penulisan.

Beretta, ketika ditanya, tidak mengatakan pengujian keamanan seperti apa yang dilakukan pada Docket sebelum diluncurkan.

Hudachko dari Utah mengatakan bahwa Docket telah menjalani “peninjauan keamanan komprehensif” oleh Pusat Layanan Medicare dan Medicaid (CMS) dan Kantor Koordinator Teknologi Informasi Kesehatan Nasional (ONC), dua kantor yang berlokasi di dalam Departemen Kesehatan dan Layanan Kemanusiaan AS. (HHS). Seorang juru bicara ONC telah menangguhkan komentar ke CMS dan HHS, keduanya tidak menanggapi permintaan kami untuk berkomentar.

Pusat Pengendalian dan Pencegahan Penyakit (CDC), yang menyetujui aplikasi tersebut, juga tidak menanggapi pertanyaan yang menanyakan apakah badan tersebut telah melakukan tinjauan keamanan.

Docket bukan satu-satunya pembuat aplikasi paspor vaksin yang mengalami masalah keamanan. Bug di aplikasi Docket adalah masalah yang hampir sama yang ditemukan di aplikasi bernama Aura, yang Temukan ribuan kode QR Berisi status vaksinasi untuk staf dan siswa. Dan awal tahun ini, ia meluncurkan aplikasi Portpass bukti-vaksinasi berbasis Calgary Pengungkapan informasi pribadi Ratusan ribu orang meninggalkan situs webnya tidak aman, sementara seorang peretas berhasil membuat file Paspor vaksin yang benar-benar palsu Menggunakan aplikasi resmi untuk membuktikan vaksinasi di Quebec.