Скомпрометированы данные миллионов людей, сдавших тесты на COVID-19

В индийском штате Уттар-Прадеш официальное приложение по отслеживанию ситуации с коронавирусной инфекцией раскрывало персональные данные людей, сдавших анализы на COVID-19, сообщает портал Money Control.

Шокирующее открытие о наличии уязвимостей в официальном приложении «Surveillance Platform Uttar Pradesh Covid-19» сделали исследователи безопасности Нам Ротем (Noam Rotem) и Ран Локар (Ran Locar) из компании VPN Mentor. Из-за дырявой системы безопасности эта платформа наблюдения за распространением коронавируса скомпрометировала данные порядка 8 млн человек, которые прошли тесты на COVID-19. Среди них как резиденты штата Уттар-Прадеш, так и проживающие за его пределами. Утекли такие данные, как полные имена, возраст, пол, домашние адреса и номера телефонов.

Кроме того, как выяснилось, приложение штата имело опасные уязвимости кода хранилища, где были собраны учетные данные администраторов. Таким образом злоумышленники могли получить доступ к панели управления ресурсом и иметь полный контроль над записями о выявленных случаях заболевания COVID-19, изменять данные о пациентах с коронавирусом и т.д.

Согласно отчету The Next Web, утечка из приложения была обнаружена еще 1 августа и получила подтверждение 9 августа. Но только месяц спустя, 10 сентября, уязвимости на официальном ресурсе штата Уттар-Прадеш были устранены. Остается неясным, использовались ли уязвимости хакерами для кражи информации.