Monday, September 26, 2022
Công nghệ Tin Tức

Một lỗi bảo mật trong ứng dụng sức khỏe Docket đã làm lộ hồ sơ vắc xin COVID-19

hồ sơ tiêm chủng

Lỗi bảo mật này, hiện đã được sửa, cho phép truy cập vào hồ sơ tiêm chủng của người khác

 

ứng dụng sức khoẻ
Nguồn: Bryce Durbin / TechCrunch

 

Lỗi bảo mật trong ứng dụng sức khỏe Docket đã làm lộ thông tin cá nhân của những người dân được tiêm vắc xin COVID-19 ở New Jersey và Utah, nơi ứng dụng đã nhận được sự xác nhận từ các quan chức nhà nước.

 

Docket cho phép người dân tải xuống và mang theo bản sao kỹ thuật số về việc chủng ngừa của họ bằng cách lấy hồ sơ tiêm chủng của họ từ cơ quan y tế của tiểu bang. Bản sao kỹ thuật số có thông tin tương tự như thẻ giấy COVID-19, nhưng được nhà nước ký theo cách kỹ thuật số để ngăn chặn việc giả mạo. Docket là một trong những cái gọi là hộ chiếu vắc xin ở Hoa Kỳ, cho phép người dân xuất trình hồ sơ tiêm chủng của họ – hoặc mã QR có thể quét – để tham gia các sự kiện, nhà hàng hoặc đi đến các quốc gia cần có vắc xin.

Nhưng trong một thời gian, ứng dụng cho phép bất kỳ ai truy cập vào mã QR của những người dùng đã được tiêm chủng khác – và tất cả thông tin cá nhân và vắc xin được mã hóa bên trong. Điều đó bao gồm tên, ngày sinh và thông tin về tình trạng tiêm chủng COVID-19 của một người, chẳng hạn như loại vắc xin họ đã nhận và khi nào.

TechCrunch đã phát hiện ra lỗi này vào thứ Ba và ngay lập tức liên hệ với công ty. Giám đốc điều hành Docket, Michael Perretta cho biết lỗi này đã được sửa ở cấp máy chủ vài giờ sau đó.

 

hồ sơ vắc xin

 

Lỗi được tìm thấy trong cách ứng dụng Docket yêu cầu mã QR của người dùng từ các máy chủ của nó. Mã QR của người dùng được tạo trên máy chủ dưới dạng Thẻ Y tế THÔNG MINH, một tiêu chuẩn được chấp nhận rộng rãi để xác thực tình trạng tiêm chủng của một người trên toàn thế giới.

Mã QR đó được gắn với một ID người dùng, ID này không hiển thị từ ứng dụng nhưng có thể được xem bằng cách xem lưu lượng mạng của nó bằng phần mềm có sẵn như Burp Suite hoặc Charles Proxy.

Nhưng các máy chủ của Docket đã không kiểm tra để đảm bảo rằng người yêu cầu mã QR được phép truy cập. Điều đó có nghĩa là bất kỳ người dùng ứng dụng nào cũng có thể thay đổi ID người dùng của họ và yêu cầu mã QR của người khác. Tệ hơn nữa, ID người dùng Docket là tuần tự và vì vậy mã QR mới có thể được liệt kê chỉ bằng cách thay đổi ID người dùng bằng một chữ số.

Không biết có ai khác đã phát hiện ra lỗi hay không. Perretta cho biết công ty “hiện đang trong quá trình xem xét nhật ký để xác định xem có bất kỳ hoạt động độc hại nào trên nền tảng hay không.” Perretta cũng nói rằng công ty đang làm việc để thông báo cho chính quyền các bang về sự mất hiệu lực nhưng không cho biết liệu công ty có kế hoạch thông báo cho người dùng của mình về sự mất hiệu lực bảo mật hay không.

Nancy Kearney, người phát ngôn của Bộ Y tế New Jersey, cho biết trong một tuyên bố:

“Bộ Y tế New Jersey đã được nhà cung cấp của chúng tôi, Docket, thông báo về một lỗ hổng mã liên quan đến việc phát hành mã QR gần đây được liên kết với ứng dụng. Docket đảm bảo với Bộ rằng họ đã xác định và sửa lỗ hổng trong mã. Không có chức năng nào khác của ứng dụng bị ảnh hưởng.

Quyền riêng tư và bảo mật của người dùng Docket vẫn là điều tối quan trọng. Tại thời điểm này, Docket đang điều tra xem có bất kỳ dấu hiệu nào về các hồ sơ tiềm năng có thể đã bị xâm phạm hay không. Bộ tiếp tục làm việc với Docket để đảm bảo sự cảnh giác liên tục của họ về vấn đề này.”

Người phát ngôn của Bộ Y tế Minnesota cũng không trả lời. (Docket có sẵn cho cư dân Minnesota, nhưng tiểu bang vẫn chưa triển khai mã QR.)

Tom Hudachko, người phát ngôn của Bộ Y tế Utah, cho biết:

“Bộ Y tế Utah cam kết đảm bảo quyền riêng tư của người dân Utah và mong muốn các nhà thầu và đối tác của mình duy trì cam kết tương tự. Docket đã thông báo cho chúng tôi [Thứ Ba] về một lỗi trong hệ thống của họ có khả năng cho phép người dùng nhận thông tin cá nhân của những người dùng khác. Docket đã đảm bảo với chúng tôi rằng họ đã xác định được nguyên nhân gây ra lỗi và đã giải quyết vấn đề này.”

“Chúng tôi đang làm việc với Docket và các nhóm bảo mật dữ liệu của riêng chúng tôi để xác định bất kỳ người dùng nào có thể đã chia sẻ thông tin của họ một cách không phù hợp và cung cấp thông báo thích hợp cho những cá nhân đó.”

Nhưng câu hỏi vẫn còn về cách mà lỗi này đã vượt qua để bắt đầu trở lại. Không biết chính xác có bao nhiêu hồ sơ của những người được tiêm chủng có nguy cơ mắc bệnh. Tuần trước, Docket cho biết trong một tweet đã bị xoá rằng nó đã đạt được một triệu người dùng. New Jersey và Utah có tổng cộng 8,5 triệu cư dân đã nhận được ít nhất một liều vắc-xin COVID-19 vào thời điểm viết bài.

hồ sơ tiêm chủng

 

Perretta sẽ không nói, khi được hỏi, loại thử nghiệm bảo mật nào đã được thực hiện trên Docket trước khi ra mắt.

Hudachko của Utah nói rằng Docket đã trải qua “cuộc đánh giá bảo mật kỹ lưỡng” bởi Trung tâm Dịch vụ Medicare và Medicaid (CMS) và Văn phòng Điều phối viên Quốc gia về Công nghệ Thông tin Y tế (ONC), hai văn phòng nằm trong Bộ Y tế và Dịch vụ Con người Hoa Kỳ (HHS). Người phát ngôn của ONC đã hoãn bình luận cho CMS và HHS, cả hai đều không phản hồi yêu cầu bình luận của chúng tôi.

Trung tâm Kiểm soát và Phòng ngừa Dịch bệnh (CDC), cơ quan đã phê duyệt ứng dụng, cũng không trả lời các câu hỏi hỏi liệu cơ quan đã tiến hành đánh giá bảo mật hay chưa.

Docket không phải là nhà sản xuất ứng dụng hộ chiếu vắc xin duy nhất gặp phải các vấn đề bảo mật. Lỗi được tìm thấy trong ứng dụng Docket là một vấn đề gần như giống hệt nhau được tìm thấy trong một ứng dụng có tên Aura, ứng dụng này đã làm lộ hàng nghìn mã QR chứa tình trạng tiêm chủng của nhân viên và học sinh.

Và vào đầu năm nay, ứng dụng bằng chứng tiêm chủng có trụ sở tại Calgary, Portpass đã tiết lộ thông tin cá nhân của hàng trăm nghìn người sau khi để trang web của họ không được bảo mật, trong khi một hacker có thể tạo hộ chiếu vắc-xin giả hoàn toàn bằng bằng chứng xác thực chính thức của Quebec – ứng dụng tiêm chủng.

 

Theo TechCrunch  


Tin liên quan

Nhiều Celeb “ném” 87 triệu đô la vào Công ty thanh toán tiền điện tử MoonPay

Công ty thanh toán bằng crypto MoonPay đã nhận được gần 16% trong vòng gọi vốn gần đây nhất từ những người nổi tiếng. Trong một thông cáo báo chí hôm thứ Tư, MoonPay cho biết hơn 60 nhạc sĩ, diễn viên và các nhân vật khác đã cùng rót...
Vũ Anh

Cách Apple thay đổi nền công nghệ thế giới

Tròn 15 năm kể từ khi chiếc iPhone đầu tiên ra đời, không ai có thể tưởng tượng được rằng sản phẩm mang tính chất “cách mạng toàn diện” này lại đánh dấu một bước ngoặt cho ngành công nghiệp di động trên toàn thế giới. Apple đã truyền cảm...
Vũ Anh

Meta CTO cho rằng việc kiểm duyệt metaverse không tốt có thể gây ra ‘mối đe dọa hiện hữu’

Meta hướng tới sự an toàn của ‘Disney ‘, nhưng có lẽ sẽ không đạt được.     CTO của Meta (trước đây là Facebook) Andrew Bosworth cảnh báo các nhân viên rằng việc tạo ra những trải nghiệm thực tế ảo an toàn là một phần quan trọng trong...
Vũ Anh

Facebook ra mắt tính năng mới: cửa hàng trong nhóm và mua sắm trực tiếp

Hôm nay, Facebook đã thông báo rằng họ sẽ triển khai các tính năng mua sắm mới: Cửa hàng trong nhóm, đề xuất sản phẩm và thử nghiệm mua sắm trực tiếp dành cho người sáng tạo.     Tính năng mới cho phép quản trị viên của các nhóm...
Vũ Anh

Toshiba tách làm 3 công ty riêng biệt sau áp lực từ các nhà hoạt động

Tập đoàn Toshiba cho biết họ sẽ tách thành ba công ty riêng biệt như một phần trong nỗ lực nâng cao giá trị cổ đông, đối phó với áp lực từ các nhà hoạt động sau nhiều năm bê bối và quản lý yếu kém.     Công ty...
Vũ Anh

Spotify mua lại Findaway – một công ty audiobook

Findaway xử lý các dịch vụ sáng tạo phân phối audiobook.     Spotify đã công bố kế hoạch mua lại các dịch vụ audiobook và công ty phân phối Findaway với một mức giá không được tiết lộ. Công ty điều hành nhiều hoạt động kinh doanh, bao gồm...
Vũ Anh