Εργαλείο παρακολούθησης του COVID-19 εκθέτει δεδομένα εκατομμυρίων χρηστών

Ένα εργαλείο που παρακολουθεί την εξάπλωση του COVID-19, το οποίο κατασκευάστηκε από την κρατική κυβέρνηση του Uttar Pradesh, εξέθεσε προσωπικά δεδομένα περίπου 8 εκατομμυρίων Ινδών πολιτών.

Η VPNmentor πραγματοποίησε μία έρευνα σχετικά με το εν λόγω εργαλείο παρακολούθησης του COVID-19, που ονομάστηκε Surveillance Platform Uttar Pradesh COVID-19 και ανακάλυψε ότι παραβιάστηκε την 1η Αυγούστου, κάτι που οδήγησε σε διαρροή δεδομένων.

Όπως ανακάλυψαν οι ερευνητές, υπήρχαν διάφορα τρωτά σημεία που μπορούσαν να βάλουν σε κίνδυνο την πλατφόρμα παρακολούθησης του ιού. Ωστόσο αυτό που τελικά οδήγησε στην παραβίαση ήταν η έλλειψη μέτρων ασφαλείας.

Οι ερευνητές του VPNmentor σημείωσαν ότι η περιφερειακή κυβέρνηση του Uttar Pradesh ανέπτυξε το εργαλείο ως μέρος ενός έργου χαρτογράφησης μεγάλης κλίμακας. Ο πρωταρχικός σκοπός του ήταν να εντοπίζει και να ανιχνεύει ασθενείς με κοροναϊό σε ολόκληρη την Ινδία και η έλλειψη «πρωτοκόλλων ασφάλειας δεδομένων άφησαν την πρόσβαση στην πλατφόρμα ανοιχτή», αποκαλύπτοντας τα δεδομένα εκατομμυρίων στην Ινδία.

Οι ερευνητές ισχυρίζονται ότι το εργαλείο εντοπισμού του COVID-19, περιείχε πολλές ευπάθειες, οι οποίες εξέθεταν τα προσωπικά δεδομένα των χρηστών. Τα εκτεθειμένα δεδομένα περιλαμβάνουν πλήρη ονόματα, φύλο, ηλικία, διεύθυνση κατοικίας και αριθμούς επικοινωνίας όλων των ατόμων που είχαν δοκιμάσει το εργαλείο.

Τα δεδομένα ασφαλίστηκαν ένα μήνα μετά την ανακάλυψη της παραβίασης. Σύμφωνα με τους αναλυτές του VPNMentor, Ran Locar και Noam Rotem, η πρώτη ευπάθεια εντοπίστηκε σε ένα μη ασφαλές και μη κρυπτογραφημένο αποθετήριο git, που περιελάμβανε ονόματα χρηστών, λογαριασμούς διαχειριστή και κωδικούς πρόσβασης που είναι αποθηκευμένοι στην πλατφόρμα.

Βάσει αυτής της ανακάλυψης, οι ερευνητές βρήκαν ένα εκτεθειμένο Web Index, που περιείχε μία λίστα καταλόγων αρχείων CSV. Περιείχε πληροφορίες για όλες τις γνωστές περιπτώσεις COVID-19 στο UP και άλλες τοποθεσίες στην Ινδία.

Ευαίσθητα ιδιωτικά δεδομένα, συμπεριλαμβανομένων πλήρους ονόματος, αριθμών τηλεφώνου, διευθύνσεων και αποτελεσμάτων τεστ περίπου 8 εκατομμυρίων πολιτών, ήταν μέρος της λίστας. Η λίστα περιείχε επίσης πληροφορίες σχετικά με ξένους κατοίκους και εργαζόμενους στον τομέα της υγειονομικής περίθαλψης και δεν προστατεύονταν με κωδικό πρόσβασης.

Δεν υπάρχουν ενδείξεις ότι κάποιος κακόβουλος παράγοντας χρησιμοποίησε τα εκτεθειμένα δεδομένα για απάτη, αλλά οι ερευνητές πιστεύουν ότι ο αντίκτυπος των τρωτών σημείων στο εργαλείο παρακολούθησης θα μπορούσε να είναι εκτεταμένος.

ΠΗΓΗ