😮 Прорыв портала вакцинации в Ирландии обнаружен через два года после устранения проблемы
Уязвимость, которая в настоящее время была устранена, позволяла несанкционированный доступ к информации о здоровье другого пользователя через портал вакцинации HSE.
“`html
Irish government website bug revealing vaccination records kept secret for 2 years before disclosure | ENBLE
Introduction
В неожиданный поворот событий стало известно, что два года назад ирландскому правительству удалось устранить уязвимость в своем национальном портале вакцинации от COVID-19. Однако детали этой уязвимости были раскрыты только после неудачных попыток координации публичного раскрытия с агентством правительства. Давайте погрузимся в эту историю и понимать последствия этого нарушения.
🤔 Что произошло?
Исследователь безопасности Аарон Костелло наткнулся на уязвимость в портале вакцинации от COVID-19 ирландского исполнительного органа по здравоохранению (HSE) в декабре 2021 года, через год после начала массовой вакцинации в Ирландии. Портал, построенный на здоровом облаке Salesforce, имел недочет, который позволял любому зарегистрированному пользователю получить доступ к информации о здоровье других.
👩💻 Удивительные подробности
По словам Костелло, записи о вакцинации более миллиона жителей Ирландии были доступны любому, кто зарегистрировался на портале вакцинации HSE. Это включало чувствительную информацию, такую как полные имена, детали о вакцинации, причины введения или отказа от вакцин, а также тип вакцинации. Кроме того, через портал также были доступны внутренние документы HSE. 🙈
Но вот позитивная сторона: Обычные пользователи портала были неосведомлены об этой уязвимости. Они не могли сразу обнаружить возможность получить доступ к деталям вакцинации всех. Уф! 😅
- Принц Персии Утраченная Корона получит бесплатное дополнение на сле...
- Warhammer 40,000 Darktide готовится к модернизации впереди ждут зах...
- 🚀 Рекорды бьются притоки средств в Bitcoin ETF достигают новых высот.
🚨 Обнаружение и реакция
К счастью, только Костелло обнаружил эту ошибку. HSE вел детальные журналы доступа, которые не показали никакой несанкционированной деятельности, связанной с нарушением. После оповещения об уязвимости HSE оперативно предпринял меры по устранению неправильной конфигурации.
По словам официального представителя HSE Элизабет Фрейзер, данные, к которым обратился Костелло, были недостаточны для идентификации любого лица без дополнительных разделов данных. Следовательно, считалось необязательным представлять отчет о нарушении персональных данных Комиссии по защите данных. Подчинение Ирландии нормам регламента GDPR Европейского союза, гарантирующего защиту данных и права на конфиденциальность, сыграло значительную роль в решении этого нарушения.
🔒 Правовой дилемма
Вот любопытный момент: Согласно GDPR, организации не обязаны раскрывать уязвимости, если они не привели к краже данных или доступу к чувствительной информации. В данном случае, поскольку нарушение не соответствовало юридическим требованиям реального нарушения данных, публичное раскрытие не было обязательным. Однако обмен знаниями о выявленных уязвимостях может сыграть большую роль в предотвращении подобных инцидентов в будущем.
🌐 Последствия и будущие разработки
Отсроченное публичное раскрытие уязвимости вызывает беспокойство относительно практик защиты данных в агентствах государственного управления. Важно, чтобы организации проактивно решали уязвимости и работали над улучшением систем для защиты данных граждан. Поскольку мы все больше полагаемся на технологии, обеспечение безопасности чувствительной информации должно быть приоритетом.
Более того, данный инцидент подчеркивает важность исследователей по безопасности и их роли в выявлении уязвимостей. Их знания и экспертиза играют ключевую роль в предотвращении подобных уязвимостей в других организациях.
🤔 Вопросы и ответы читателей
Q: Как ирландское правительство устранило уязвимость в национальном портале вакцинации от COVID-19?
A: Ирландское правительство устранило уязвимость два года назад, устраняя неправильную конфигурацию в системе портала. Они немедленно устранили дефект, когда это стало известно.
Q: Было ли несанкционированное доступ или нарушения данных из-за этой уязвимости?
A: По данным HSE, их журналы доступа не указывают на несанкционированный доступ или просмотр данных. Аарон Костелло, исследователь по безопасности, обнаруживший уязвимость, подтвердил, что только он смог получить доступ к информации.
📚 Список литературы
📣 Призыв ко всем хорошим людям!
Необходимость защиты данных и надежных мер безопасности нельзя недооценивать, особенно в нашем все более цифровом мире. Пожалуйста, найдите время, чтобы поделиться этой статьей и распространить информацию о значимости защиты чувствительной информации. Вместе мы можем добиться перемен!
“““html
“`
