АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

23 апреля 2021

Персональные данные: случаи утечек тестов на COVID-19

Коронавирус, похоже, надолго, если не навсегда, вошел в нашу жизнь, а значит, с ним появился устойчивый пласт конфиденциальной информации, в том числе персональные данные прошедших вакцинацию и тестирование на COVID-19. В этом обзоре приводим несколько последних примеров утечек этой конфиденциальной информации.

Недавно в Германии вопиющее нарушение правил информационной безопасности допустила компания Eventus Media International (EMI), которая управляет центрами тестирования на коронавирусную инфекцию. Сайт компании был создан на движке WordPress, однако проблемы информационной безопасности возникли не из-за уязвимостей в этом ПО, а вследствие неправильных настроек REST API. Обращение к конечной точке выдавало 10-значный номер в формате JSON. Это был номер, присвоенный определенному тесту на COVID-19. Введя этот номер, любой желающий мог найти на сайте результаты тестов. Специалисты по информационной безопасности отмечают, что из-за допущенного EMI нарушения были скомпрометированы персональные данные порядка 14 тыс. пациентов. Утекла такая информация, как имена, адреса, даты рождения, номера телефонов и многое другое.

Совет по здравоохранения округа Кентербери в Новой Зеландии извинился перед пациентами за ошибку в программном обеспечении. Из-за допущенной уязвимости многие люди, которые записывались на вакцинацию от коронавируса, могли видеть персональные данные других людей. Вероятно, были скомпрометированы данные 716 человек, включая имена, пол, возраст, а также номера идентификаторов NHI – уникальных индексов, использующихся в медицинской системе Новой Зеландии. Система была настолько плохо разработана, что злоумышленники могли изменить персональные данные пациентов или вписать себя в перечень прошедших вакцинацию.

В США департамент здравоохранения штата Висконсин случайно скомпрометировал электронные адреса 907 человек, записанных на вакцинацию от COVID-19. Делая рассылки-напоминания людям из списка, чиновники несколько раз забыли поставить адреса в скрытую копию, то есть адреса всех пациентов были видны в поле «Кому».

Компания Premier Diagnostics, управляющая 11 центрами тестирования в штате Юта, хранила конфиденциальную информацию на общедоступном сервере, что привело к утечке персональных данных около 52 тыс. человек. В руках неизвестных, в частности, могли оказаться изображения документов, удостоверяющих личность. Сервер находился в свободном доступе более недели, то есть у злоумышленников, которые регулярно сканируют сетевые ресурсы, было достаточно времени на то, чтобы обнаружить хранилище и скачать из него данные.

Подпишитесь на рассылку INFOWATCH
l.12-.057c.834-.407 1.663-.812 2.53-1.211a42.414 42.414 0 0 1 3.345-1.374c2.478-.867 5.078-1.427 7.788-1.427 2.715 0 5.318.56 7.786 1.427z" transform="translate(-128 -243)"/>