U situ Web di Test COVID di Walgreen Puderia Esibisce Dati di Pazienti, Dicenu Esperti di Sicurezza

Qualchissia chì hà ottenutu un test COVID-19 in Walgreens puderia avè avutu dati persunali lasciati in linea, cumpresu u so nome, data di nascita, numaru di telefunu, indirizzu è email. In certi casi, i risultati di i test COVID sò stati lasciati nantu à u web apertu per chiunque li veda, secondu un novu raportu di Recode .

Vulnerabilità di securità in u situ web Walgreens COVID sò state scuperte per a prima volta da Alejandro Ruiz, cunsultante di Interstitial Technology PBC. Ellu disse: "Ogni sucietà chì hà fattu tali errori di basa in una app chì gestisce i dati sanitarii ùn piglia micca a sicurezza seriamente".

Recode hà dettu à Walgreens di e scuperte di Ruiz, chì dui altri esperti di sicurezza anu verificatu. Recode hà datu à Walgreens u tempu di riparà e vulnerabilità prima di publicà a storia, ma Walgreens ùn hà micca rispettatu.

Hè statu trovu chì i dati sensibili di e persone ponu esse esposti à siti di traccia di publicità. E vulnerabilità di a piattaforma sò un esempiu di cume una megacorporazione si hè prumossa cum'è "cumpagnu vitale in a prova" chì hà lanciatu una piattaforma di registrazione di prova chì ùn hà micca pigliatu in seriu a privacy è a sicurezza.

Quandu ci hè dumandatu, Walgreens ùn hà micca specificatu quantu tempu e vulnerabilità di sicurezza eranu presenti nantu à a so piattaforma. Ci hè una ragione per crede chì e vulnerabilità cumincianu da lugliu 2020.

I prublemi sò in u sistema di registrazione di appuntamentu di test Covid-19 di Walgreens, chì chiunque voglia uttene un test da Walgreens deve aduprà (a menu chì cumpranu un test senza ricetta). Dopu chì u paziente riempie è sottumette u modulu, un numeru d'identità unicu di 32 cifre li hè attribuitu è ​​una pagina di richiesta d'appuntamentu hè creata, chì hà l'ID unicu in l'URL.

Qualchissia chì hà un ligame à quella pagina pò vede l'infurmazioni annantu; ùn ci hè micca bisognu di autentificà chì sò u paziente o di cunnettassi in un account. A pagina ferma attiva per almenu sei mesi, se micca di più. -Recodificà

"U prucessu tecnicu chì Walgreens hà sviluppatu per prutege l'infurmazioni sensibili di e persone era guasi inesistente", hà dettu Zach Edwards, ricercatore di privacy è fundatore di a ditta analitica Victory Medium.

L'esperti in securità anu dettu à Recode chì l'ID attivi pudianu esse induvinati, o un piratariu puderia creà un algoritmu chì generaria rapidamente URL in a speranza di scopre pagine attive.

"A securità per l'oscurità hè un mudellu terribile per i registri sanitari", hà dettu Sean O'Brien, u fundatore di Yale's Privacy Lab.

L'estensione di i dati lasciati aperti nantu à a piattaforma di registrazione di prova include u nome cumpletu, a data di nascita, u numeru di telefunu, l'indirizzu email, l'indirizzu postale è l'identità di genere. Recode hà dettu cù uni pochi clicchi in u pannellu di strumenti di sviluppatore di un navigatore, chiunque avessi accessu à una pagina attiva pò truvà sta infurmazione sensibile.

Ruiz è l'altri esperti di sicurezza anu dettu à Recode chì eranu allarmati da i trackers di Walgreens nantu à e so pagine di cunferma. Anu dettu chì Adobe, Akami, Dotomi, Facebook, Google, InMoment è Monetate eranu alcuni di i siti web di traccia chì puderianu avè raccoltu ID di pazienti chì puderebbenu esse aduprati per truvà URL di e pagine di appuntamentu dopu accede à l'infurmazioni di u paziente.

"Ghjustu u numeru di seguitori di terzu chì sò attaccati à u sistema di appuntamentu hè un prublema, prima di cunsiderà a messa in opera sloppy", disse O'Brien.

"Questu hè o un flussu di dati publicitariu apposta, chì seria veramente deludente, o un colosale sbagliu chì hà messu una parte enorme di i clienti Walgreens à risicu di violazioni di a catena di fornitura di dati", hà dettu Edwards.

Walgreens hà dettu à Recode chì era una "prima priorità" per prutege l'infurmazioni persunali di i so pazienti:

"Avemu continuamente valutatu e nostre soluzioni tecnologiche per furnisce servizii digitali sicuri, sicuri è accessibili à i nostri clienti è pazienti", hà dettu a farmacia.

Recode hà presentatu à Walgreens una scadenza per risolve e vulnerabilità di sicurezza in a piattaforma di registrazione di prova, ma ùn hà micca risoltu u prublema in tempu:

Di novu, Walgreens ùn hà micca risoltu i prublemi prima di u scadenza prorogata chì Recode hà furnitu à a sucietà, nè li diceria à Recode s'ellu avia previstu di fà. Ùn hà micca trattatu e dumande di Recode nantu à i trackers publicitarii eccettu per dì chì u so usu di cookies hè spiegatu in a so pulitica di privacy. Tuttavia, u seguimentu per mezu di i cookies ùn era micca u prublema Recode è Ruiz identificatu à Walgreens, è a cumpagnia ùn hà micca cummentatu più quandu questu hè stata spiegata. -Recodificà.

"Questu hè un esempiu chjaru [di stu tipu di vulnerabilità], ma cù dati Covid è tunnellate di informazioni d'identità persunale", disse Edwards. "Sò scandalizatu chì anu refutatu sta violazione chjaru".

Milioni di persone anu fattu test COVID attraversu Walgreens, è ùn ferma chjaru quantu sò stati esposti à stu difettu di sicurezza negligente.

"Hè solu un altru esempiu di una grande sucietà chì priorita i so prufitti nantu à a nostra privacy", hà dettu Ruiz.