O governo irlandês corrigiu uma vulnerabilidade há dois anos no seu portal nacional de vacinação COVID-19 que expôs os registos de vacinação de cerca de um milhão de residentes. Mas os detalhes da vulnerabilidade não foram revelados até esta semana, depois que as tentativas de coordenar a divulgação pública com a agência governamental foram paralisadas e encerradas.
O pesquisador de segurança Aaron Costello disse que descobriu a vulnerabilidade no portal de vacinação COVID-19 administrado pelo Irish Health Service Executive (HSE) em dezembro de 2021, um ano após o início da vacinação em massa contra COVID-19 na Irlanda.
Costello, que profundo conhecimento em segurança de sistemas Salesforceagora trabalha como engenheiro de segurança principal na AppOmni, uma startup de segurança com interesse comercial em proteger sistemas em nuvem.
Em uma postagem de blog compartilhada com o TechCrunch antes de sua publicação, Costello disse que a vulnerabilidade no portal de vacinação – construído na nuvem de saúde da Salesforce – significava que qualquer membro do público que se registrasse no portal de vacinação HSE poderia ter acessado as informações de saúde de outro usuário registrado. .
Costello disse que os registos de administração de vacinas de mais de um milhão de residentes irlandeses eram acessíveis a qualquer outra pessoa, incluindo nomes completos, detalhes de vacinação (incluindo motivos de administração ou recusas de tomar vacinas) e o tipo de vacinação, entre outros tipos de dados. Ele também descobriu que os documentos internos de SMS estavam acessíveis a qualquer usuário por meio do portal.
“Felizmente, a capacidade de ver os detalhes da administração da vacinação de todos não era imediatamente óbvia para os usuários regulares que usavam o portal conforme pretendido”, escreveu Costello.
A boa notícia é que ninguém além de Costello descobriu o bug, e o HSE manteve registros de acesso detalhados que mostram que “não houve acesso ou visualização não autorizada desses dados”, de acordo com uma declaração dada ao TechCrunch.
“Corrigimos a configuração incorreta no dia em que fomos alertados sobre ela”, disse a porta-voz da HSE, Elizabeth Fraser, em comunicado ao TechCrunch quando questionada sobre a vulnerabilidade.
“Os dados acedidos por este indivíduo eram insuficientes para identificar qualquer pessoa sem que campos de dados adicionais fossem expostos e, nestas circunstâncias, foi determinado que não era necessário um relatório de Violação de Dados Pessoais à Comissão de Protecção de Dados”, disse o porta-voz da HSE.
A Irlanda está sujeita a leis rigorosas de proteção de dados ao abrigo do regulamento GDPR da União Europeia, que rege a proteção de dados e os direitos de privacidade em toda a UE.
A divulgação pública de Costello marca mais de dois anos desde o primeiro relato da vulnerabilidade. Sua postagem no blog incluía um cronograma de vários anos revelando idas e vindas entre vários departamentos governamentais que não estavam dispostos a reivindicar a divulgação pública. No final das contas, ele foi informado de que o governo não divulgaria publicamente o bug como se ele nunca tivesse existido.
As organizações não são obrigadas, mesmo ao abrigo do GDPR, a divulgar vulnerabilidades que não tenham resultado num roubo em massa ou acesso a dados sensíveis e que não cumpram os requisitos legais de uma violação de dados real. Dito isto, a segurança é muitas vezes construída com base no conhecimento de outras pessoas, especialmente daqueles que sofreram incidentes de segurança. Compartilhar esse conhecimento pode ajudar a evitar exposições semelhantes em outras organizações que, de outra forma, poderiam passar despercebidas, e é por isso que os pesquisadores de segurança tendem a se inclinar para a divulgação pública para evitar a repetição de erros do passado.