Недостаток безопасности на веб-сайте правительства Западной Бенгалии в Индии выявил результаты лабораторных исследований, по меньшей мере, сотен тысяч жителей, хотя, вероятно, миллионов, которые прошли тест на COVID-19.

Веб-сайт является частью программы правительства Западной Бенгалии по массовому тестированию на коронавирус. Как только результат теста на COVID-19 готов, правительство отправляет пациенту текстовое сообщение со ссылкой на его веб-сайт, содержащий результаты их тестов.

Но исследователь безопасности Сураджит Маджумдер обнаружил, что ссылка, содержащая уникальный идентификационный номер теста пациента, была скремблирован с кодировкой base64, которую можно легко преобразовать с помощью онлайн-инструментов. Поскольку идентификационные номера были последовательно упорядочены, ошибка на веб-сайте означала, что любой мог изменить этот номер в адресной строке своего браузера и просмотреть результаты тестов других пациентов.

Результаты теста содержат имя пациента, пол, возраст, почтовый адрес и если результаты лабораторных анализов пациента оказались положительными, отрицательными или неубедительными для COVID-19.

Маджумдер сказал TechCrunch, что он обеспокоен тем, что злоумышленник может очистить сайт и продать данные. «Это нарушение конфиденциальности, если кто-то другой получает доступ к моей личной информации», – сказал он.

Два отредактированных результата лабораторных тестов на COVID-19 были обнаружены в результате уязвимости системы безопасности на веб-сайте правительства Западной Бенгалии. (Снимок экрана: TechCrunch)

Маджумдер сообщил об уязвимости индийскому CERT, специализированному подразделению по кибербезопасности страны, которое подтвердило наличие проблемы в электронном письме. Он также связался с администратором веб-сайта правительства Западной Бенгалии, который не ответил. TechCrunch независимо подтвердил наличие уязвимости, а также обратился к правительству Западной Бенгалии, которое отключило веб-сайт, но не ответило на наши запросы о комментариях.

TechCrunch держал наш отчет до тех пор, пока уязвимость не была исправлена ​​или больше не представляла опасности. На момент публикации уязвимый веб-сайт остается в автономном режиме.

Точно неизвестно, сколько результатов лабораторных исследований COVID-19 было раскрыто из-за этого нарушения безопасности, и обнаружил ли уязвимость кто-либо, кроме Маджумдера. Когда в конце февраля веб-сайт был отключен, правительство штата проверило более 8,5 миллионов жителей на COVID-19.

Западная Бенгалия – один из самых густонаселенных штатов Индии с населением около 90 миллионов человек. С начала пандемии правительство штата зарегистрировало более 10 000 смертей от коронавируса.

Это последний из нескольких инцидентов безопасности за последние несколько месяцев, произошедших в Индии и ее ответ на пандемию коронавируса.

В мае прошлого года, Крупнейшая сотовая сеть Индии Jio признала нарушение безопасности после того, как исследователь безопасности обнаружил базу данных, содержащую средство проверки симптомов коронавируса компании, которое Jio запустила несколькими месяцами ранее.

В октябре исследователь безопасности обнаружил, что доктор Лал Патлабс оставил сотни электронных таблиц, содержащих миллионы электронных таблиц. записи о пациентах – в том числе для тестов на COVID-19 – на общедоступном сервере хранения, который не был защищен паролем, что позволяет любому получить доступ к конфиденциальным данным пациента.

Безопасно отправляйте советы через Signal и WhatsApp на +1 646-755-8849 . Вы также можете отправлять файлы или документы с помощью SecureDrop.