یک اشکال امنیتی در برنامه سلامت Docket سوابق واکسن کووید-19 را افشا کرد – TechCrunch

یک اشکال امنیتی در برنامه بهداشتی Docket اطلاعات خصوصی ساکنان واکسینه شده علیه کووید-19 در نیوجرسی و یوتا را افشا کرد، جایی که این برنامه تأییدیه‌هایی را از مقامات ایالتی دریافت کرد.

Docket به ساکنان این امکان را می دهد که با گرفتن سوابق واکسیناسیون خود از مقامات بهداشتی ایالت خود، نسخه دیجیتالی ایمن سازی خود را دانلود و حمل کنند. کپی دیجیتال همان اطلاعات کارت کاغذی COVID-19 را دارد، اما به صورت دیجیتالی توسط دولت برای جلوگیری از جعل امضا شده است. Docket یکی از چندین پاسپورت به اصطلاح واکسن در ایالات متحده است که به ساکنان این امکان را می دهد تا سوابق واکسیناسیون خود – یا یک کد QR قابل اسکن – را برای ورود به رویدادها، رستوران ها یا عبور از کشورهایی که واکسن مورد نیاز است نشان دهند.

اما برای مدتی، این برنامه به هر کسی اجازه دسترسی به کدهای QR سایر کاربران واکسینه شده و تمام اطلاعات شخصی و واکسن رمزگذاری شده در آن را می داد. این شامل نام، تاریخ تولد، و اطلاعات مربوط به وضعیت واکسیناسیون کووید-19 یک فرد، مانند نوع واکسن و زمان دریافت آن است.

TechCrunch روز سه شنبه این اشکال را کشف کرد و بلافاصله با شرکت تماس گرفت. مایکل پرتا، مدیر اجرایی Docket گفت که این باگ چند ساعت بعد در سطح سرور برطرف شد.

این اشکال در نحوه درخواست کد QR کاربر توسط برنامه Docket از سرورهای خود مشاهده شد. کد QR کاربر در قالب یک کارت سلامت SMART بر روی سرور تولید می‌شود، استانداردی که به طور گسترده پذیرفته شده برای تأیید وضعیت واکسیناسیون یک فرد در سراسر جهان است. این کد QR به یک شناسه کاربری گره خورده است که از طریق برنامه قابل مشاهده نیست، اما با مشاهده ترافیک شبکه آن با استفاده از نرم افزارهای آماده مانند Burp Suite یا Charles Proxy قابل مشاهده است.

مطالب پیشنهادی  باربری کاشانی - اتوبار کاشانی با بسته بندی اصولی در تهران |44282757|

اما سرورهای Docket برای اطمینان از اینکه فردی که درخواست کد QR می‌کند، اجازه درخواست آن را دارد، بررسی نمی‌کردند. این بدان معناست که هر کاربر برنامه می‌تواند شناسه کاربری خود را تغییر دهد و کد QR شخص دیگری را درخواست کند. بدتر از آن، شناسه‌های کاربر Docket متوالی هستند و بنابراین کدهای QR جدید را می‌توان به سادگی با تغییر شناسه کاربر با یک رقم واحد برشمرد.

مشخص نیست که آیا شخص دیگری این اشکال را کشف کرده است یا خیر. پرتا گفت که این شرکت “در حال حاضر در حال بررسی گزارش‌ها برای تعیین اینکه آیا فعالیت مخربی در پلتفرم وجود داشته است یا خیر.” پرتا همچنین گفت که این شرکت در تلاش است تا دولت های ایالتی را در مورد این نقص اطلاع دهد، اما نگفت که آیا این شرکت قصد دارد کاربران خود را از نقص امنیتی مطلع کند یا خیر.

نانسی کرنی، سخنگوی وزارت بهداشت نیوجرسی، در بیانیه‌ای گفت: «دپارتمان بهداشت نیوجرسی توسط فروشنده ما، Docket، از آسیب‌پذیری کد مربوط به انتشار اخیر یک کد QR مرتبط با برنامه مطلع شد. داکت به وزارت اطمینان داد که آسیب‌پذیری موجود در کد را شناسایی و رفع کرده است. هیچ عملکرد دیگری از برنامه تحت تأثیر قرار نگرفت. حفظ حریم خصوصی و امنیت کاربران Docket در درجه اول اهمیت قرار دارد. در این زمان، Docket در حال بررسی برای هرگونه نشانه ای از سوابق احتمالی است که ممکن است به خطر بیفتد. این وزارتخانه به همکاری با داکت ادامه می دهد تا از هوشیاری مداوم آنها در این مورد اطمینان حاصل کند.

مطالب پیشنهادی  استارت آپ تیم برنرز لی در حال مذاکره برای جمع آوری بیش از 30 میلیون دلار - TechCrunch

سخنگوی وزارت بهداشت مینه سوتا نیز پاسخی نداد. (Docket برای ساکنان مینه سوتا در دسترس است، اما ایالت هنوز کدهای QR را به کار نگرفته است.)

تام هوداچکو، سخنگوی وزارت بهداشت یوتا، گفت: “وزارت بهداشت یوتا متعهد به تضمین حریم خصوصی ساکنان یوتا است و از پیمانکاران و شرکای خود انتظار دارد همین تعهد را حفظ کنند. Docket به ما اطلاع داد [Tuesday] یک اشکال در سیستم خود که به طور بالقوه می تواند به کاربران اجازه دهد اطلاعات شخصی سایر کاربران را دریافت کنند. Docket به ما اطمینان داده است که آنها علت این باگ را شناسایی کرده اند و این مشکل را حل کرده اند.”

هوداچکو گفت: «ما در حال کار با Docket و تیم‌های امنیت داده‌های خود هستیم تا کاربرانی را که ممکن است اطلاعات آنها به‌طور نامناسب به اشتراک گذاشته شده را شناسایی کنیم و اعلان‌های مناسب را برای آن افراد ارائه کنیم.

اما سوالاتی در مورد چگونگی رفع اشکال در ابتدا باقی می ماند. دقیقاً مشخص نیست که پرونده چند نفر از افراد واکسینه شده در خطر است. هفته گذشته، داکت گفت که رسیده است یک میلیون کاربر. نیوجرسی و یوتا مجموعاً 8.5 میلیون ساکن دارند که حداقل یک دوز از واکسن کووید-19 را در زمان نگارش این مقاله دریافت کرده‌اند.

وقتی از پرتا پرسیده شد که چه نوع آزمایش امنیتی روی Docket قبل از راه اندازی آن انجام شده است، نمی گوید.

هوداچکو از یوتا گفت که داکت توسط مراکز خدمات مدیکر و مدیکید (CMS) و دفتر هماهنگ کننده ملی فناوری اطلاعات سلامت (ONC)، دو دفتری که در وزارت بهداشت و درمان ایالات متحده قرار دارند، “بازبینی کامل امنیتی” را انجام داده است. خدمات (HHS). یکی از سخنگویان ONC اظهار نظر به CMS و HHS را به تعویق انداخت، که هیچ کدام به درخواست‌های ما برای اظهار نظر پاسخ ندادند.

مطالب پیشنهادی  قیمت احتمالی خودرو اطلس شرکت سایپا + امکانات و مشخصات فنی احتمالی

مرکز کنترل و پیشگیری از بیماری (CDC) که این برنامه را تأیید کرده است، همچنین به سؤالاتی که از آژانس می‌پرسیدند آیا آژانس یک بررسی امنیتی انجام داده است، پاسخ نداد.

Docket تنها سازنده اپلیکیشن پاسپورت واکسن نیست که با مشکلات امنیتی مواجه شده است. اشکال یافت شده در برنامه Docket تقریباً یک مشکل مشابه در برنامه ای به نام Aura است که هزاران کد QR حاوی وضعیت واکسیناسیون کارکنان و دانش آموزان را نشان می دهد. و در اوایل سال جاری، برنامه اثبات واکسیناسیون مستقر در کلگری، Portpass، اطلاعات شخصی صدها هزار نفر را پس از ناامن گذاشتن وب‌سایت خود، افشا کرد، در حالی که یک هکر توانست با استفاده از مدرک رسمی کبک، یک پاسپورت واکسن کاملا جعلی ایجاد کند. -برنامه واکسیناسیون

18 املاک