Reklam
Genel Haberler

Walgreens’in Covid-19 test kayıt sistemi hasta verilerini ifşa etti

Güncelleme, 20 Eylül: Bu haberin yayınlanmasından birkaç gün sonra ve orijinal sayfa düzeninin güvensiz olduğunu inkar ettikten sonra Walgreens, Covid-19 test onay sayfalarına bir kimlik doğrulama ekranı ekleyerek kötü oyuncuların bilgiye erişmesini zorlaştırdı. Yeni kimlik doğrulama ekranı ile artık test onay sayfalarına erişmek isteyen herkesin önce hastanın doğum tarihini girmesi gerekiyor. Hasta sayfalarında hala birden fazla reklam izleyici var.

Potansiyel veri sızıntısını ilk keşfeden Interstitial Technology PBC danışmanı Alejandro Ruiz, Recode’a Walgreens’in düzeltmesinin yeterince iyi olmadığını düşündüğünü söyledi. Ruiz, şifre gibi daha güvenli bir doğrulama yöntemini tercih edeceğini söyledi ve Walgreens ve reklamcılarının birbirleriyle iletişim kurmasına ve veri alışverişinde bulunmasına izin veren uygulama programlama arayüzünün (API) aktif kaldığını kaydetti.

Walgreens, Recode’a çok dikkatli bir şekilde siteye “ek bir katman” eklediğini ve hasta verilerine yetkisiz erişime dair herhangi bir güvenilir kanıtın farkında olmadığını da sözlerine ekledi.

Şirket, “Müşterilerimizin ve hastalarımızın kişisel bilgilerini korumak her zaman çok ciddiye aldığımız en yüksek önceliklerimizden biridir” dedi.


Walgreens’te bir Covid-19 testi yaptırdıysanız, adınız, doğum tarihiniz, cinsiyet kimliğiniz, telefon numaranız, adresiniz ve e-posta adresiniz dahil olmak üzere kişisel verileriniz, potansiyel olarak herkesin görmesi ve çoklu reklam için açık web’de bırakıldı. toplamak için Walgreens’ sitesinde izleyiciler. Bazı durumlarda, bu testlerin sonuçları bile bu verilerden toplanabilir.

Verilere maruz kalma, pandemi boyunca Walgreens’in Covid-19 test hizmetlerini kullanan veya kullanmaya devam eden milyonlarca insanı potansiyel olarak etkiliyor.

Birden fazla güvenlik uzmanı, Recode’a sitede bulunan güvenlik açıklarının Amerika Birleşik Devletleri’ndeki en büyük eczane zincirlerinden birinin web sitesinde olması gereken temel sorunlar olduğunu söyledi. bilinen kaçınmak. Walgreens’in sahip olduğu kendini terfi ettirdi “Testlerde hayati bir ortak” olarak şirkete bu testler için sigorta şirketleri ve hükümet tarafından geri ödeme yapılır.

Interstitial Technology PBC danışmanı Alejandro Ruiz, sorunları Mart ayında bir aile üyesinin Covid-19 testi yaptırmasından sonra keşfetti. Walgreens ile e-posta, telefon ve web sitesi aracılığıyla iletişim kurduğunu söylüyor. güvenlik formu. Şirketin yanıt vermediğini söylüyor, bu da onu şaşırtmadı.

Ruiz, “Sağlık verilerini işleyen bir uygulamada bu tür temel hatalar yapan herhangi bir şirket, güvenliği ciddiye almayan şirketlerdir” dedi.

Recode, diğer iki güvenlik uzmanı tarafından onaylanan Ruiz’in bulgularını Walgreens’e bildirdi. Recode, Walgreens’e yayınlamadan önce güvenlik açıklarını düzeltmesi için zaman verdi, ancak Walgreens bunu yapmadı.

Şirket, Recode’a “Gerekli veya uygun görüldüğünde ek güvenlik geliştirmelerini düzenli olarak inceliyor ve dahil ediyoruz” dedi.

İnsanların hassas verileri, kendi amaçları için kullanmaları için çok sayıda reklam ve veri şirketine maruz kalabilir veya verilerinin güvenli olacağından emin değillerse Walgreens’ten bir Covid-19 testi yaptırma konusunda cesaretleri kırılabilir. Platformun güvenlik açıkları da bir diğeri örnek teknolojinin pandemiyi durdurma çabalarına nasıl yardımcı olması gerektiği, tam olarak alınamayacak kadar hızlı ve dikkatsizce inşa edildi veya uygulandı. Gizlilik ve güvenlik hesaba katmak.

Walgreens ayrıca, test kayıt platformunun bu güvenlik açıklarına ne kadar süredir sahip olduğunu söylemedi. En azından Ruiz’in onları keşfettiği Mart ayına kadar geri gidiyorlar ve muhtemelen bundan çok daha uzun. Walgreens’in sahip olduğu teklif edildi Nisan 2020’den bu yana yapılan Covid-19 testleri ve internetin arşivlerini tutan Wayback Machine, gösteriler Temmuz 2020’ye kadar uzanan boş test onay veri sayfaları, sorunun en azından o kadar eskiye dayandığını gösterir.

Sorunlar Walgreens’ten test yaptırmak isteyen herkesin kullanması gereken Walgreens’in Covid-19 test randevu kayıt sisteminde. (satın almadıkları sürece tezgahın üzerinden Ölçek). Hasta formu doldurup gönderdikten sonra kendisine 32 haneli benzersiz bir kimlik numarası atanır ve URL’sinde benzersiz kimliği olan bir randevu talep sayfası oluşturulur.

Bir hasta bir Covid-19 testine kaydolduktan sonra oluşturulan sayfa (URL'deki hasta kimliği bulanıklaştırılmıştır).

Bir hasta bir Covid-19 testine kaydolduktan sonra oluşturulan sayfa (URL’deki hasta kimliği bulanıklaştırılmıştır).

O sayfaya bağlantısı olan herkes sayfadaki bilgileri görebilir; hasta olduklarını doğrulamaya veya bir hesapta oturum açmaya gerek yoktur. Sayfa, daha fazla değilse en az altı ay boyunca etkin kalır.

Gizlilik araştırmacısı ve analitik firması Victory Medium’un kurucusu Zach Edwards, Recode’a “Walgreens’in insanların hassas bilgilerini korumak için uyguladığı teknik süreç neredeyse yoktu” dedi.

Bu sayfaların URL’leri, “sorgu dizesi” olarak adlandırılan, URL’nin bir soru işaretiyle başlayan kısmında bulunan benzersiz bir hasta kimliği dışında aynıdır. 6.000’den fazla Walgreens test sitesinde bu kayıt sistemi kullanılarak milyonlarca test yapıldığından, muhtemelen milyonlarca aktif kimlik vardır. Güvenlik uzmanları Recode’a göre, aktif bir kimlik tahmin edilebilir veya kararlı bir bilgisayar korsanı, herhangi bir etkin sayfaya ulaşma umuduyla hızla URL’ler oluşturan bir bot oluşturabilir ve onlara insanlar hakkında biyografik bir veri kaynağı verebilir. potansiyel olarak kesmek için kullanmak diğer sitelerdeki hesapları. Ancak, kimliklerde kaç karakter olduğu ve dolayısıyla kaç kombinasyon olduğu göz önüne alındığında, bu şekilde yalnızca bir aktif sayfa bulmanın neredeyse imkansız olacağını söylediler – milyonlarcası orada olsa bile. Tabii ki, imkansıza yakın, imkansız ile aynı şey değildir.

Birinin göz atma geçmişine erişimi olan herkes de sayfayı görebilir. Bu, örneğin, çalışanların internet etkinliklerini kaydeden bir işvereni veya genel veya paylaşılan bir bilgisayarda tarayıcı geçmişine erişen birini içerebilir.

Yale’s Privacy Lab’ın kurucusu Sean O’Brien, Recode’a verdiği demeçte, “Gizlilik yoluyla güvenlik, sağlık kayıtları için korkunç bir modeldir” dedi.

Bu potansiyel sızıntıyı önemli ölçüde daha da kötüleştiren şey, web sitesinde ne kadar veri depolandığı ve buna başka kimlerin erişebileceğidir. Halka açık sayfalarda yalnızca hastanın adı, test türü ve randevu saati ve yeri görünür, ancak bundan çok daha fazlası perde arkasındadır ve herhangi bir tarayıcıdan erişilebilir.

aşı randevularında olduğu gibi, Walgreens, testlerinden birine kaydolmak için çok sayıda kişisel veriye ihtiyaç duyar: tam ad, doğum tarihi, telefon numarası, e-posta adresi, posta adresi ve cinsiyet kimliği. Ve bir tarayıcının geliştirici araçları panelinde birkaç tıklamayla, belirli bir hastanın sayfasına erişimi olan herkes bu bilgiyi bulabilir.

Walgreens'in onay sayfaları bir sürü hassas kişisel bilgi içeriyor (bulanık).

Walgreens’in onay sayfaları bir sürü hassas kişisel bilgi içeriyor (bulanık).

Dahil edilen bir “orderId” ve testi gerçekleştiren laboratuvarın adıdır. Walgreens’in laboratuvar ortaklarının Covid-19 test sonuçları portallarından en az biri aracılığıyla birinin test sonuçlarına erişmesi için ihtiyaç duyacağı tüm bilgiler bu kadar, ancak bir Recode muhabiri kendisine baktığında yalnızca son 30 günün sonuçları mevcuttu.

Ruiz ve diğer güvenlik uzmanları Recode ile konuştular, Walgreens’in onay sayfalarına yerleştirdiği izleyici sayısı konusunda da alarm verdiler. Adobe, Akami, Dotomi, Facebook, Google, InMoment, Monetate ve veri paylaşım ortaklarından herhangi biri dahil olmak üzere bu izleyicilere sahip olan şirketlerin hasta kimliklerini alma olasılığını işaretlediler. randevu sayfalarının URL’lerini bulun ve sahip oldukları bilgilere erişin.

Yale’den O’Brien, “Yalnızca, randevu sistemine bağlı üçüncü taraf izleyicilerin sayısının çokluğu, özensiz kurulumu düşünmeden önce bir sorundur,” dedi.

Gizlilik araştırmacısı Edwards’ın analizi, bu şirketlerin birçoğunun randevu sayfalarından URI’ler veya Tekdüzen Kaynak Tanımlayıcıları aldığını buldu. Bunları alan şirket çok istekliyse, bunlar daha sonra hasta verilerine erişmek için kullanılabilir. Bu tür bir sızıntının benzer olduğunu söyledi. ne keşfetti Nisan 2020’de Wish, Quibi ve JetBlue dahil olmak üzere web sitelerinde – ancak bu durumlarda yalnızca e-posta adresleri sızdırıldığından “çok daha kötü”.

Edwards, “Bu, ya gerçekten hayal kırıklığı yaratacak amaca yönelik bir reklam teknolojisi veri akışıdır ya da Walgreens müşterilerinin büyük bir bölümünü veri tedarik zinciri ihlalleri riskine sokan devasa bir hatadır” dedi.

Walgreens, Recode’a, hastalarının kişisel bilgilerini korumanın “birinci öncelik” olduğunu, ancak bilgi güvenliğini sağlama ihtiyacı ile Covid-19 testini “test arayan bireyler için mümkün olduğunca erişilebilir” hale getirmeyi dengelemesi gerektiğini söyledi.

Walgreens, “Müşterilerimize ve hastalarımıza güvenli, güvenli ve erişilebilir dijital hizmetler sunmak için teknoloji çözümlerimizi sürekli olarak değerlendiriyoruz” dedi.

Yine, Walgreens, Recode’un şirkete sağladığı uzatılmış son teslim tarihinden önce sorunları çözmedi ve bunu planlıyorsa Recode’a söylemedi. Recode’un reklam izleyicileri hakkındaki sorularını, çerez kullanımının gizlilik politikasında açıklandığını söylemek dışında ele almadı. Ancak, Recode ve Ruiz’in Walgreens’e tanımladığı sorun çerezler aracılığıyla izleme değildi ve şirket bu kendisine açıklandığında daha fazla yorum yapmadı.

“Bu kesin bir örnek [of this type of vulnerability], ancak Covid verileri ve tonlarca kişisel olarak tanımlanabilir bilgi ile, ”dedi Edwards. “Bu açık ihlali çürütmelerine şaşırdım.”

Ruiz’in aile üyesinin verileri, potansiyel olarak milyonlarca başka hastanın verileriyle birlikte bugün de güncelliğini koruyor.

“Kârını gizliliğimize göre önceliklendiren büyük bir şirketin başka bir örneği” dedi.


Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün