Lỗi bảo mật này, hiện đã được sửa, cho phép truy cập vào hồ sơ tiêm chủng của người khác
Lỗi bảo mật trong ứng dụng sức khỏe Docket đã làm lộ thông tin cá nhân của những người dân được tiêm vắc xin COVID-19 ở New Jersey và Utah, nơi ứng dụng đã nhận được sự xác nhận từ các quan chức nhà nước.
Docket cho phép người dân tải xuống và mang theo bản sao kỹ thuật số về việc chủng ngừa của họ bằng cách lấy hồ sơ tiêm chủng của họ từ cơ quan y tế của tiểu bang. Bản sao kỹ thuật số có thông tin tương tự như thẻ giấy COVID-19, nhưng được nhà nước ký theo cách kỹ thuật số để ngăn chặn việc giả mạo. Docket là một trong những cái gọi là hộ chiếu vắc xin ở Hoa Kỳ, cho phép người dân xuất trình hồ sơ tiêm chủng của họ – hoặc mã QR có thể quét – để tham gia các sự kiện, nhà hàng hoặc đi đến các quốc gia cần có vắc xin.
Nhưng trong một thời gian, ứng dụng cho phép bất kỳ ai truy cập vào mã QR của những người dùng đã được tiêm chủng khác – và tất cả thông tin cá nhân và vắc xin được mã hóa bên trong. Điều đó bao gồm tên, ngày sinh và thông tin về tình trạng tiêm chủng COVID-19 của một người, chẳng hạn như loại vắc xin họ đã nhận và khi nào.
TechCrunch đã phát hiện ra lỗi này vào thứ Ba và ngay lập tức liên hệ với công ty. Giám đốc điều hành Docket, Michael Perretta cho biết lỗi này đã được sửa ở cấp máy chủ vài giờ sau đó.
Lỗi được tìm thấy trong cách ứng dụng Docket yêu cầu mã QR của người dùng từ các máy chủ của nó. Mã QR của người dùng được tạo trên máy chủ dưới dạng Thẻ Y tế THÔNG MINH, một tiêu chuẩn được chấp nhận rộng rãi để xác thực tình trạng tiêm chủng của một người trên toàn thế giới.
Mã QR đó được gắn với một ID người dùng, ID này không hiển thị từ ứng dụng nhưng có thể được xem bằng cách xem lưu lượng mạng của nó bằng phần mềm có sẵn như Burp Suite hoặc Charles Proxy.
Nhưng các máy chủ của Docket đã không kiểm tra để đảm bảo rằng người yêu cầu mã QR được phép truy cập. Điều đó có nghĩa là bất kỳ người dùng ứng dụng nào cũng có thể thay đổi ID người dùng của họ và yêu cầu mã QR của người khác. Tệ hơn nữa, ID người dùng Docket là tuần tự và vì vậy mã QR mới có thể được liệt kê chỉ bằng cách thay đổi ID người dùng bằng một chữ số.
Không biết có ai khác đã phát hiện ra lỗi hay không. Perretta cho biết công ty “hiện đang trong quá trình xem xét nhật ký để xác định xem có bất kỳ hoạt động độc hại nào trên nền tảng hay không.” Perretta cũng nói rằng công ty đang làm việc để thông báo cho chính quyền các bang về sự mất hiệu lực nhưng không cho biết liệu công ty có kế hoạch thông báo cho người dùng của mình về sự mất hiệu lực bảo mật hay không.
Nancy Kearney, người phát ngôn của Bộ Y tế New Jersey, cho biết trong một tuyên bố:
“Bộ Y tế New Jersey đã được nhà cung cấp của chúng tôi, Docket, thông báo về một lỗ hổng mã liên quan đến việc phát hành mã QR gần đây được liên kết với ứng dụng. Docket đảm bảo với Bộ rằng họ đã xác định và sửa lỗ hổng trong mã. Không có chức năng nào khác của ứng dụng bị ảnh hưởng.
Quyền riêng tư và bảo mật của người dùng Docket vẫn là điều tối quan trọng. Tại thời điểm này, Docket đang điều tra xem có bất kỳ dấu hiệu nào về các hồ sơ tiềm năng có thể đã bị xâm phạm hay không. Bộ tiếp tục làm việc với Docket để đảm bảo sự cảnh giác liên tục của họ về vấn đề này.”
Người phát ngôn của Bộ Y tế Minnesota cũng không trả lời. (Docket có sẵn cho cư dân Minnesota, nhưng tiểu bang vẫn chưa triển khai mã QR.)
Tom Hudachko, người phát ngôn của Bộ Y tế Utah, cho biết:
“Bộ Y tế Utah cam kết đảm bảo quyền riêng tư của người dân Utah và mong muốn các nhà thầu và đối tác của mình duy trì cam kết tương tự. Docket đã thông báo cho chúng tôi [Thứ Ba] về một lỗi trong hệ thống của họ có khả năng cho phép người dùng nhận thông tin cá nhân của những người dùng khác. Docket đã đảm bảo với chúng tôi rằng họ đã xác định được nguyên nhân gây ra lỗi và đã giải quyết vấn đề này.”
“Chúng tôi đang làm việc với Docket và các nhóm bảo mật dữ liệu của riêng chúng tôi để xác định bất kỳ người dùng nào có thể đã chia sẻ thông tin của họ một cách không phù hợp và cung cấp thông báo thích hợp cho những cá nhân đó.”
Nhưng câu hỏi vẫn còn về cách mà lỗi này đã vượt qua để bắt đầu trở lại. Không biết chính xác có bao nhiêu hồ sơ của những người được tiêm chủng có nguy cơ mắc bệnh. Tuần trước, Docket cho biết trong một tweet đã bị xoá rằng nó đã đạt được một triệu người dùng. New Jersey và Utah có tổng cộng 8,5 triệu cư dân đã nhận được ít nhất một liều vắc-xin COVID-19 vào thời điểm viết bài.
Perretta sẽ không nói, khi được hỏi, loại thử nghiệm bảo mật nào đã được thực hiện trên Docket trước khi ra mắt.
Hudachko của Utah nói rằng Docket đã trải qua “cuộc đánh giá bảo mật kỹ lưỡng” bởi Trung tâm Dịch vụ Medicare và Medicaid (CMS) và Văn phòng Điều phối viên Quốc gia về Công nghệ Thông tin Y tế (ONC), hai văn phòng nằm trong Bộ Y tế và Dịch vụ Con người Hoa Kỳ (HHS). Người phát ngôn của ONC đã hoãn bình luận cho CMS và HHS, cả hai đều không phản hồi yêu cầu bình luận của chúng tôi.
Trung tâm Kiểm soát và Phòng ngừa Dịch bệnh (CDC), cơ quan đã phê duyệt ứng dụng, cũng không trả lời các câu hỏi hỏi liệu cơ quan đã tiến hành đánh giá bảo mật hay chưa.
Docket không phải là nhà sản xuất ứng dụng hộ chiếu vắc xin duy nhất gặp phải các vấn đề bảo mật. Lỗi được tìm thấy trong ứng dụng Docket là một vấn đề gần như giống hệt nhau được tìm thấy trong một ứng dụng có tên Aura, ứng dụng này đã làm lộ hàng nghìn mã QR chứa tình trạng tiêm chủng của nhân viên và học sinh.
Và vào đầu năm nay, ứng dụng bằng chứng tiêm chủng có trụ sở tại Calgary, Portpass đã tiết lộ thông tin cá nhân của hàng trăm nghìn người sau khi để trang web của họ không được bảo mật, trong khi một hacker có thể tạo hộ chiếu vắc-xin giả hoàn toàn bằng bằng chứng xác thực chính thức của Quebec – ứng dụng tiêm chủng.
Theo TechCrunch