Shadow

Auf einer zum indischen Bundesstaat gehörenden Gesundheitswebsite werden COVID-19-Testergebnisdaten online veröffentlicht

Sourajeet Majumder, ein Sicherheitsforscher, hat kürzlich seine Entdeckung mitgeteilt, wonach ein Problem auf einer Website der indischen Regierung dazu führt, dass die Testberichte von COVID-19-Patienten zu einem bestimmten Staat gehören.

Die Gesamtzahl der kompromittierten Daten beträgt über 8 Millionen. Das Leck wurde dem Gesundheitsamt von Westbengalen, Indien, zugeschrieben.

Laut Majumdar „enthalten diese Berichte vertrauliche Informationen über die Bürger wie Name, Alter, Datum und Uhrzeit der Stichprobenprüfung, Wohnadresse usw.“

Die Leckage wurde beobachtet, als der Forscher den Inhalt einer Textnachricht sah, die an einen COVID-19-Testteilnehmer gesendet wurde. In der Textnachricht umfasste die Struktur der URL, die zum Ergebnis führte, die ID-Nummer eines Base64-codierten Berichts („SRF-ID“).

Diese Base-64-codierte Berichtsnummer kann einfach dekodiert und zum Erstellen einer Reihe neuer URLs verwendet werden, um die COVID-19-Testergebnisse anderer Patienten zu überprüfen.

Als dieses Leck auf der Domain wbhealth.gov.in gehostet wurde, wurde vielen erfolglos versucht, die relevanten IT-Kontakte in der Abteilung und bei den relevanten Parteien im Voraus zu erreichen.

Auf den URL-Endpunkten, die vor den COVID-19-Berichten verloren gegangen sind, wird jetzt die Meldung „404 (nicht gefunden)“ angezeigt.

Dies ist nicht das erste Mal, dass die COVID-19-Testergebnisse online als Leck entdeckt wurden. Zuvor haben wir mehrere unabhängige Labors, in denen die Testergebnisse ihrer Patienten aufgrund von Fehlern in der Implementierung des QR-Codes veröffentlicht wurden.