Hơn 8 triệu kết quả thử nghiệm COVID-19 bị rò rỉ

Hàng triệu báo cáo thử nghiệm COVID-19 đã được phát hiện có thể truy cập công khai do việc triển khai hệ thống trực tuyến còn thiếu sót.

Nhà nghiên cứu phát hiện hàng triệu kết quả kiểm tra COVID bị rò rỉ trực tuyến

Vụ rò rỉ bao gồm hơn 8 triệu kết quả xét nghiệm COVID-19, đã được cho là do Sở Y tế và Phúc lợi của Tây Bengal, Ấn Độ.

Tuần này, nhà nghiên cứu bảo mật Sourajeet Majumder đã phát hiện ra một trang web khác của chính phủ làm lộ hàng triệu kết quả kiểm tra COVID-19.

“Tôi đã tìm thấy một vấn đề trên một trang web của Chính phủ Ấn Độ, dẫn đến việc rò rỉ các báo cáo thử nghiệm của người dân đã thực hiện bài kiểm tra COVID-19 ở một tiểu bang cụ thể.”

Vào thời điểm phát hiện ban đầu của mình, nhà nghiên cứu nghi ngờ số lượng báo cáo có thể truy cập công khai đã vượt mốc 8 triệu, dựa trên bản tin hàng ngày do chính phủ xuất bản.

Cấu trúc của URL trong văn bản dẫn đến kết quả bao gồm số ID của báo cáo được mã hóa base64 (“ID SRF”) như được hiển thị bên dưới.

Tin nhắn văn bản mà nhà nghiên cứu nhìn thấy có liên kết đến kết quả thử nghiệm COVID-19

Số báo cáo được mã hóa base64 có thể được giải mã thành dạng số đơn giản hơn, tăng/giảm để tạo các bộ URL mới cho phép truy cập kết quả xét nghiệm COVID-19 của bệnh nhân khác.

Majumder nhận thấy rằng mã hóa base64 được áp dụng cho định danh số là tùy chọn và việc loại bỏ nó không ảnh hưởng đến khả năng truy xuất báo cáo.

Theo cách này, nhà nghiên cứu đã chứng minh rằng kẻ tấn công có thể lấy kết quả xét nghiệm COVID-19 của hàng triệu bệnh nhân bằng cách chỉ cần liệt kê các URL:

https://cpms.wbhealth.gov [.] in: 8003 / Covid19.aspx? SRFID = 1931XXXXXX1
https://cpms.wbhealth.gov [.] in: 8003 / Covid19.aspx? SRFID = 1931XXXXXX2
https: // cpms.wbhealth.gov [.] trong: 8003 / Covid19.aspx? SRFID = 1931XXXXXX3

Mỗi báo cáo đều tiết lộ tên, tuổi, giới tính, địa chỉ nhà riêng của bệnh nhân, kết quả xét nghiệm COVID-19, ngày xét nghiệm, số nhận dạng báo cáo và các chi tiết liên quan đến vị trí của phòng thí nghiệm.

Một trong những báo cáo thử nghiệm COVID-19 do nhà nghiên cứu thu được

Bộ phận y tế khắc phục sự cố rò rỉ

Trong một tuyên bố gửi cho một hãng tin khu vực, Tiến sĩ Roy nói rằng thông tin như dữ liệu kết quả xét nghiệm COVID-19 có nghĩa là phải được giữ bí mật, đặc biệt là để bảo vệ quyền riêng tư của bệnh nhân COVID-19. Ông nói tiếp rằng chính phủ chỉ cung cấp thông tin như vậy cho người nhà của bệnh nhân.

Đây không phải là lần đầu tiên kết quả thử nghiệm COVID-19 bị rò rỉ trực tuyến ở quy mô như vậy. Trước đây, nhiều phòng thí nghiệm độc lập đã làm rò rỉ kết quả xét nghiệm bệnh nhân do triển khai mã QR có sai sót có thể cho phép các tác nhân đe dọa liệt kê các URL kết quả xét nghiệm.

Khi tạo các URL có thể truy cập công khai, có lẽ là một ý tưởng hay khi đặt một số bit dữ liệu không thể đoán được hoặc ngẫu nhiên vào chúng để làm cho việc liệt kê trở nên khó khăn hơn.

Source: Bleepingcomputer

Fanpage: Trí Việt JSC