Shadow

Un site Web de santé appartenant à un État indien divulgue les données des résultats du test COVID-19 en ligne

Sourajeet Majumder, un chercheur en sécurité, a récemment partagé sa découverte selon laquelle un problème sur un site du gouvernement indien divulgue les rapports de test des patients du COVID-19 appartient à un État particulier.

Le total des données compromises est supérieur à 8 millions. La fuite a été attribuée au Département du bien-être de la santé du Bengale occidental, en Inde.

Selon le Majumdar, « ces rapports contiennent des informations sensibles sur les citoyens, telles que le nom, l’âge, la date et l’heure de l’analyse des échantillons, l’adresse de résidence, etc. »

La fuite a été observée lorsque le chercheur a vu le contenu d’un message texte envoyé à un candidat au test COVID-19. Dans le message texte, la structure de l’URL menant au résultat comprenait le numéro d’identification d’un rapport codé en base64 (« SRF ID »).

Ce numéro de rapport encodé en base 64 peut facilement être décodé et utilisé pour construire un ensemble de nouvelles URL pour vérifier les résultats des tests COVID-19 d’autres patients.

En voyant cette fuite hébergée sur le domaine wbhealth.gov.in, beaucoup ont tenté en vain de contacter au préalable les contacts informatiques concernés du département et les parties concernées.

Les points de terminaison d’URL qui fuyaient avant les rapports COVID-19 affichent maintenant le message «404 (non trouvé)».

Ce n’est pas la première fois que les résultats du test COVID-19 ont été repérés en ligne. Auparavant, nous avions un dossier de plusieurs laboratoires indépendants ayant divulgué les résultats des tests de leurs patients en raison d’une faille dans la mise en œuvre du code QR.