دولت ایرلند دو سال پیش آسیب‌پذیری را در پورتال ملی واکسیناسیون کووید-19 خود برطرف کرد که سوابق واکسیناسیون حدود یک میلیون نفر از ساکنان را فاش کرد. اما جزئیات این آسیب‌پذیری تا این هفته پس از توقف و پایان تلاش‌ها برای هماهنگی افشای عمومی با آژانس دولتی فاش نشد.

آرون کاستلو، محقق امنیتی، بيان کرد که او آسیب‌پذیری را در پورتال واکسیناسیون کووید-19 که توسط اداره خدمات بهداشتی ایرلند (HSE) در دسامبر 2021، یک سال پس از شروع واکسیناسیون انبوه علیه کووید-19 در ایرلند، اداره می‌شود، کشف کرد.

کاستلو، که تخصص عمیقی در ایمن سازی سیستم های Salesforce دارد، اکنون به عنوان مهندس امنیت اصلی در AppOmni، یک استارت آپ امنیتی با علاقه تجاری به ایمن سازی سیستم های ابری، کار می کند.

کاستلو در یک پست وبلاگی که قبل از انتشار آن با TechCrunch به اشتراک گذاشته شد، بيان کرد که آسیب پذیری در پورتال واکسیناسیون - ساخته شده بر روی ابر سلامت Salesforce - به این معنی است که هر عضو عمومی که در پرتال واکسیناسیون HSE ثبت نام می کند می تواند به اطلاعات سلامت کاربر ثبت شده دیگری دسترسی داشته باشد. .

کاستلو بيان کرد که سوابق تجویز واکسن بیش از یک میلیون ساکن ایرلندی، از جمله نام کامل، جزئیات واکسیناسیون (از جمله دلایل تجویز یا امتناع از مصرف واکسن)، و نوع واکسیناسیون، در میان انواع دیگر داده‌ها، در دسترس افراد دیگر است. او همچنین دریافت که اسناد HSE داخلی برای هر کاربر از طریق پورتال قابل دسترسی است.

کاستلو نوشت: "خوشبختانه، توانایی مشاهده جزئیات تجویز واکسیناسیون همه افراد بلافاصله برای کاربران عادی که از پورتال همانطور که در نظر گرفته شده استفاده می کردند آشکار نبود."

خبر خوب این است که هیچ‌کس به جز کاستلو این اشکال را کشف نکرد و HSE گزارش‌های دسترسی دقیقی را نگهداری می‌کند که نشان می‌دهد طبق بیانیه‌ای که به TechCrunch داده شده است، «دسترسی یا مشاهده غیرمجاز این داده‌ها وجود ندارد».

الیزابت فریزر، سخنگوی HSE در بیانیه ای به TechCrunch در پاسخ به سوالی درباره این آسیب پذیری گفت: «ما پیکربندی نادرست را در روزی که به ما هشدار داده شد، اصلاح کردیم.

سخنگوی HSE گفت: «داده‌هایی که این فرد به آن دسترسی پیدا کرده بود برای شناسایی افراد بدون افشای فیلدهای اطلاعات اضافی کافی نبود و در این شرایط مشخص شد که گزارش نقض اطلاعات شخصی به کمیسیون حفاظت از داده‌ها لازم نیست.»

ایرلند مشمول قوانین سختگیرانه حفاظت از داده ها بر اساس مقررات GDPR اتحادیه اروپا است که بر حفاظت از داده ها و حقوق حریم خصوصی در سراسر اتحادیه اروپا حاکم است.

افشای عمومی کاستلو بیش از دو سال از اولین گزارش این آسیب‌پذیری می‌گذرد. پست وبلاگ او شامل یک جدول زمانی چند ساله بود که نشان می داد رفت و آمد بین بخش های مختلف دولتی که تمایلی به ادعای افشای عمومی نداشتند. در نهایت به او گفته شد که دولت این ایراد را به طور علنی افشا نخواهد کرد که گویی هرگز وجود نداشته است.

سازمان‌ها، حتی تحت GDPR، موظف به افشای آسیب‌پذیری‌هایی نیستند که منجر به سرقت انبوه یا دسترسی به داده‌های حساس نشده و خارج از الزامات قانونی نقض واقعی داده‌ها هستند. گفته می شود، امنیت اغلب از دانش دیگران، به ویژه کسانی که خود حوادث امنیتی را تجربه کرده اند، ایجاد می شود. به اشتراک گذاشتن این دانش می‌تواند به جلوگیری از مواجهه‌های مشابه در سایر سازمان‌ها کمک کند که در غیر این صورت ممکن است ناآگاه باشند، و اینکه چرا محققان امنیتی تمایل دارند به افشای عمومی برای جلوگیری از تکرار اشتباهات سال گذشته تمایل داشته باشند.

خبرکاو