Hace dos años, el gobierno irlandés solucionó una vulnerabilidad en su portal nacional de vacunación COVID-19 que exponía los registros de vacunación de alrededor de un millón de residentes. Pero los detalles de la vulnerabilidad no fueron revelados hasta esta semana después de que los intentos de coordinar la divulgación pública con la agencia gubernamental se estancaran y terminaran.
El investigador de seguridad Aaron Costello dijo que descubrió la vulnerabilidad en el portal de vacunación COVID-19 administrado por el Ejecutivo del Servicio de Salud Irlandés (HSE) en diciembre de 2021, un año después de que comenzaran las vacunaciones masivas contra el COVID-19 en Irlanda.
Costello, que tiene una amplia experiencia en la seguridad de los sistemas Salesforce, ahora trabaja como ingeniero de seguridad principal en AppOmni, una startup de seguridad con interés comercial en proteger los sistemas en la nube.
En una publicación de blog compartida con TechCrunch antes de su publicación, Costello dijo que la vulnerabilidad en el portal de vacunación, construido en la nube de salud de Salesforce, significaba que cualquier miembro del público que se registrara en el portal de vacunación de HSE podría haber accedido a la información de salud de otro usuario registrado. .
Costello dijo que cualquier otra persona podía acceder a los registros de administración de vacunas de más de un millón de residentes irlandeses, incluidos los nombres completos, los detalles de la vacunación (incluidos los motivos para administrar o negarse a recibir vacunas) y el tipo de vacunación, entre otros tipos de datos. También descubrió que cualquier usuario podía acceder a los documentos internos de HSE a través del portal.
«Afortunadamente, la capacidad de ver los detalles de la administración de vacunas de todos no fue inmediatamente obvia para los usuarios habituales que utilizaban el portal como estaba previsto», escribió Costello.
La buena noticia es que nadie más que Costello descubrió el error, y el HSE mantuvo registros de acceso detallados que muestran que «no hubo acceso ni visualización no autorizada de estos datos», según una declaración dada a TechCrunch.
«Solucionamos la mala configuración el día que nos alertaron», dijo la portavoz de HSE, Elizabeth Fraser, en una declaración a TechCrunch cuando se le preguntó sobre la vulnerabilidad.
«Los datos a los que accedió este individuo fueron insuficientes para identificar a cualquier persona sin que se expusieran campos de datos adicionales y, en estas circunstancias, se determinó que no era necesario un informe de Violación de Datos Personales a la Comisión de Protección de Datos», dijo el portavoz de HSE.
Irlanda está sujeta a estrictas leyes de protección de datos según el reglamento GDPR de la Unión Europea, que rige la protección de datos y los derechos de privacidad en toda la UE.
La divulgación pública de Costello marca más de dos años desde que informó por primera vez sobre la vulnerabilidad. La publicación de su blog incluía una línea de tiempo de varios años que revelaba un vaivén entre varios departamentos gubernamentales que no estaban dispuestos a reclamar la divulgación pública. Al final le dijeron que el gobierno no revelaría públicamente el error como si nunca hubiera existido.
Las organizaciones no están obligadas, incluso según el RGPD, a revelar vulnerabilidades que no hayan resultado en un robo masivo o acceso a datos confidenciales y que queden fuera de los requisitos legales de una violación de datos real. Dicho esto, la seguridad a menudo se basa en el conocimiento de otros, especialmente aquellos que han experimentado incidentes de seguridad. Compartir ese conocimiento podría ayudar a prevenir exposiciones similares en otras organizaciones que de otro modo no se darían cuenta. Esta es la razón por la que los investigadores de seguridad tienden a inclinarse hacia la divulgación pública para evitar que se repitan los errores de antaño.