Εργαλείο παρακολουθήσης τοῦ COVID-19 εκθέτει δεδομένα ἑκατομμυρίων χρηστῶν

Ἔνα εργαλείο που παρακολουθεῖ τήν εξάπλωση τοῦ COVID-19, τό οποίο κατασκευάστηκε ἀπό τήν κρατική κυβερνήσῃ τοῦ Uttar Pradesh, εξέθεσε προσωπικά δεδομένα περίπου 8 ἑκατομμυρίων Ἰνδῶν πολιτῶν.

Ἡ VPNmentor πραγματοποίησε μία ἔρευνα σχετικά με τό ἐν λόγῳ εργαλείο παρακολουθήσῃς τοῦ COVID-19, που ονομάστηκε Surveillance Platform Uttar Pradesh COVID-19 καί ανακάλυψε ὅτι παραβιάστηκε τήν 1η Αὐγούστου, κάτι που οδήγησε σε διαρροή δεδομένων.

Ὅπως ἀνακαλύψαν οἱ ερευνητές, υπήρχαν διάφορα τρωτά σημεία που μπορούσαν νᾷ βαλοῦν σε κίνδυνο τήν πλατφόρμα παρακολουθήσῃς τοῦ ἰού. Ὡστόσο αὑτό που τελικά οδήγησε στην παραβιάσῃ ήταν ἡ ἐλλείψῃ μέτρων ἀσφαλείας.

Οἱ ερευνητές τοῦ VPNmentor σημειῶσαν ὅτι ἡ περιφερειακή κυβερνήσῃ τοῦ Uttar Pradesh ἀνέπτυξε τό εργαλείο ὡς μέρος ἑνός ἔργου χαρτογράφησης μεγάλης κλίμακας. Ὁ πρωταρχικός σκοπός τοῦ ήταν νᾷ ἐντοπίζει καί νᾷ ἀνιχνεύει ἀσθενεῖς με κοροναϊό σε ὁλοκληρῇ τήν Ἰνδία καί ἡ ἐλλείψῃ «πρωτοκόλλων ἀσφαλείας δεδομένων άφησαν τήν προσβάσῃ στην πλατφόρμα ανοιχτή», ἀποκαλύπτοντας τά δεδομένα ἑκατομμυρίων στην Ἰνδία.

Οἱ ερευνητές ἰσχυρίζονται ὅτι τό εργαλείο ἐντοπισμοῦ τοῦ COVID-19, περιεῖχε πολλές ευπάθειες, οἱ οποίες εξέθεταν τά προσωπικά δεδομένα τῶν χρηστῶν. Τά ἐκτεθειμένα δεδομένα περιλαμβάνουν πλήρη ὀνόματα, φύλο, ἡλικία, διεύθυνση κατοικίας καί ἀριθμούς ἐπικοινωνίας ὅλων τῶν ἀτόμων που είχαν δοκιμάσει τό εργαλείο.

Τά δεδομένα ασφαλίστηκαν ἔνα μῆνα μετά τήν ἀνακαλύψῃ τῆς παραβιάσῃς. Σύμφωνα με τούς αναλυτές τοῦ VPNMentor, Ran Locar καί Noam Rotem, ἡ πρώτη εὐπάθεια εντοπίστηκε σε ἔνα μή ἀσφαλές καί μή κρυπτογραφημένο αποθετήριο git, που περιελάμβανε ὀνόματα χρηστῶν, λογαριασμούς διαχειριστῇ καί κωδικούς προσβάσης που εἷναι αποθηκευμένοι στην πλατφόρμα.

Βάσει αὑτῆς τῆς ἀνακαλύψῃς, οἱ ερευνητές βρήκαν ἔνα εκτεθειμένο Web Index, που περιεῖχε μία λιστά καταλόγων ἀρχείων CSV. Περιεῖχε πληροφορίες γία όλες τις γνωστές περιπτώσεις COVID-19 στο UP καί άλλες τοποθεσίες στην Ἰνδία.

Εὐαίσθητα ἰδιωτικά δεδομένα, συμπεριλαμβανομένων πλήρους ὀνόματος, ἀριθμῶν τηλεφώνου, διευθύνσεων καί ἀποτελεσμάτων τεστ περίπου 8 ἑκατομμυρίων πολιτῶν, ήταν μέρος τῆς λιστάς. Ἡ λιστά περιεῖχε ἐπίσης πληροφορίες σχετικά με ξένους κατοίκους καί ἐργαζομένους στόν τομέα τῆς υγειονομικής περιθάλψῃς καί δέν προστατεύονταν με κωδικό προσβάσης.

Δέν υπάρχουν ἐνδείξεις ὅτι κάποιος κακόβουλος παράγοντας χρησιμοποίησε τά ἐκτεθειμένα δεδομένα γία ἀπάτη, ἀλλά οἱ ερευνητές πιστεύουν ὅτι ὁ ἀντίκτυπος τῶν τρωτῶν σημείων στο εργαλείο παρακολουθήσῃς θα μπορούσε νᾷ εἷναι ἐκτεταμένος.

id-ont