Shadow

インドの州に属する健康ウェブサイトがCOVID-19テスト結果データをオンラインで漏らしている

セキュリティ研究者のSourajeetMajumderは最近、インド政府のサイトの問題がCOVID-19の患者のテストレポートを特定の州に漏らしているという発見を共有しました。

侵害されたデータの合計は800万を超えています。リークは、インドの西ベンガルの保健福祉局に起因していました。

マジュムダールによれば、「これらの報告には、名前、年齢、サンプル検査の日時、住所など、市民に関する機密情報が含まれています」。

研究者がCOVID-19受験者に送信されたテキストメッセージの内容を見たときに漏れが観察されました。テキストメッセージでは、結果を導くURLの構造は、base64でエンコードされたレポートのID番号(「SRFID」)で構成されていました。

このbase-64でエンコードされたレポート番号は、簡単にデコードして、他の患者のCOVID-19テスト結果を確認するための新しいURLのセットを作成するために使用できます。

このリークがwbhealth.gov.inドメインでホストされているのを見て、多くの人が、部門の関連するIT連絡先および関係者に事前に連絡する試みに失敗しました。

以前のCOVID-19レポートでリークしていたURLエンドポイントに、「404(見つかりません)」というメッセージが表示されるようになりました。

COVID-19テストの結果がオンラインでリークしているのが発見されたのはこれが初めてではありません。以前は、QRコードの実装に欠陥があるため、複数の独立したラボが患者のテスト結果を漏らしたという記録があります。