一家位於加州的醫療創業公司在整個洛杉磯提供COVID-19測試,在一位客戶發現允許訪問其他人的個人信息的漏洞后,該公司已經關閉了一個用於允許客戶訪問其測試結果的網站。Total
Testing
Solutions在整個洛杉磯有10個COVID-19測試點,每周在工作場所、體育場館和學校處理”數千次”COVID-19測試。
當測試結果準備好后,客戶會收到一封電子郵件,其中有一個網站鏈接,以獲得他們的結果。
但一位客戶說,他們發現了一個網站漏洞,允許他們通過增加或減少網站地址中的一個數字來訪問其他客戶的信息。這使得該客戶可以看到其他客戶的名字和他們的測試日期。該網站也只需要一個人的出生日期就可以訪問他們的COVID-19測試結果,發現該漏洞的客戶說”不需要很長時間”就可以暴力破解,或者簡單地猜測。(對於30歲以下的人來說,這只是11000次生日猜測而已)
雖然測試結果網站有一個登錄頁面,提示客戶提供他們的電子郵件地址和密碼,但允許客戶更改網址和訪問其他客戶信息的網站漏洞部分可以直接從網上訪問,完全繞過了登錄提示。
通過有限的測試發現,該漏洞可能使大約6萬個測試處於危險之中。TTS首席醫療官Geoffrey Trenkle確認了這一漏洞,他對窮舉破解的漏洞沒有異議,但表示該漏洞僅限於一台用於提供傳統測試結果的內部服務器,該服務器後來被關閉並被一個新的基於雲的系統取代。公司在一份聲明中說:”我們最近意識到我們以前的內部服務器存在一個潛在的安全漏洞,它可能允許利用URL操作和出生日期編程代碼的組合來訪問某些病人的名字和結果。”該漏洞僅限於在創建基於雲的服務器之前在公共測試場所獲得的病人信息。為了應對這一潛在的威脅,我們立即關閉了企業內部的軟件,並開始將這些數據遷移到安全的雲端系統,以防止未來數據泄露的風險。我們還啟動了漏洞評估,包括審查服務器訪問日誌,以檢測任何未被識別的網絡活動或不尋常的認證失敗。目前,TTS沒有發現由於其先前服務器的問題而導致的任何不安全的受保護健康信息的泄露。據我們所知,實際上沒有病人的健康信息被泄露,而且所有的風險都已經被減輕了。”
Total Testing Solution表示將遵守國家法律規定的法律義務,但沒有明確表示該公司是否計劃通知客戶這一漏洞。雖然公司沒有義務向本州的總檢察長或客戶報告漏洞,但許多公司出於謹慎而報告,因為並不總是能夠確定是否有不當訪問。