Медицинская компания из Калифорнии, которая проводит тестирование на COVID-19 в Лос-Анджелесе, закрыла веб-сайт, который использовался для предоставления клиентам доступа к результатам своих тестов после того, как клиент обнаружил уязвимость, которая раскрывала личную информацию других людей.
Total Testing Solutions имеет десять центров тестирования на COVID-19 в Лос-Анджелесе и каждую неделю обрабатывает «тысячи» тестов на COVID-19 на рабочих местах, на спортивных объектах и в школах. Когда результаты теста готовы, клиенты получают электронное письмо со ссылкой на веб-сайт, на котором можно получить свои результаты.
Но один клиент сказал, что они обнаружили уязвимость веб-сайта, которая позволяет им получать доступ к информации других клиентов, увеличивая или уменьшая число в адресе веб-сайта на одну цифру. Это позволило клиенту видеть имена других клиентов и дату их теста. Веб-сайт также требует только даты рождения человека для доступа к результатам его теста на COVID-19, который, по словам клиента, обнаружившего уязвимость, «не займет много времени» для грубой силы или просто предположения. (Это всего лишь 11000 предположений о днях рождения для всех, кто младше 30 лет.)
Хотя веб-сайт с результатами тестирования защищен страницей входа в систему, которая запрашивает у клиента адрес электронной почты и пароль, уязвимая часть веб-сайта, которая позволяла клиенту изменять веб-адрес и получать доступ к информации других клиентов, могла быть доступна непосредственно из Интернета. , полностью минуя запрос на вход.
Заказчик передал детали уязвимости TechCrunch, чтобы исправить уязвимость, прежде чем кто-то другой найдет ее или воспользуется ею, если еще не сделал этого.
TechCrunch проверил выводы клиента, но, хотя мы не перечисляли каждый код результата, посредством ограниченного тестирования было обнаружено, что уязвимость, вероятно, подвергает риску около 60 000 тестов. TechCrunch сообщил об уязвимости главному врачу TTS Джеффри Тренклу, который не оспаривал количество обнаруженных тестов, но сказал, что уязвимость ограничена локальным сервером, используемым для предоставления результатов устаревших тестов, который с тех пор был отключен и заменен новая облачная система.
«Недавно нам стало известно о потенциальной уязвимости системы безопасности в нашем бывшем локальном сервере, которая может позволить получить доступ к определенным именам пациентов и результатам, используя комбинацию манипуляций с URL-адресом и программными кодами даты рождения», – говорится в заявлении Тренкле. «Уязвимость ограничивалась информацией о пациентах, полученной на общедоступных сайтах тестирования до создания облачного сервера. В ответ на эту потенциальную угрозу мы немедленно отключили локальное программное обеспечение и начали перенос этих данных в безопасную облачную систему, чтобы предотвратить будущий риск утечки данных. Мы также инициировали оценку уязвимости, включая проверку журналов доступа к серверу, чтобы обнаружить любую нераспознанную сетевую активность или необычные сбои аутентификации ».
Тренкле отказался сообщить, когда облачный сервер стал активным и почему якобы устаревший сервер получил результаты тестов не далее как в прошлом месяце.
«В настоящее время TTS не известно о каких-либо нарушениях незащищенной защищенной информации о здоровье в результате проблем с предыдущим сервером. Насколько нам известно, на самом деле никакая информация о здоровье пациентов не была скомпрометирована, и в дальнейшем все риски были снижены », – сказал Тренкле.
Тренкле сказал, что компания будет выполнять свои юридические обязательства в соответствии с законодательством штата, но не сказал прямо, планирует ли компания уведомить клиентов об уязвимости. Хотя компании не обязаны сообщать об уязвимостях генеральному прокурору своего штата или своим клиентам, многие из них делают это из большой осторожности, поскольку не всегда возможно определить, был ли доступ ненадлежащим образом.
Генеральный директор TTS Лорен Тренкл, которую скопировали в цепочке электронной почты, отказалась от комментариев.