\n<\/p>\n
Hace dos a\u00f1os, el gobierno irland\u00e9s solucion\u00f3 una vulnerabilidad en su portal nacional de vacunaci\u00f3n COVID-19 que expon\u00eda los registros de vacunaci\u00f3n de alrededor de un mill\u00f3n de residentes. Pero los detalles de la vulnerabilidad no fueron revelados hasta esta semana despu\u00e9s de que los intentos de coordinar la divulgaci\u00f3n p\u00fablica con la agencia gubernamental se estancaran y terminaran.<\/p>\n
El investigador de seguridad Aaron Costello dijo que descubri\u00f3 la vulnerabilidad en el portal de vacunaci\u00f3n COVID-19 administrado por el Ejecutivo del Servicio de Salud Irland\u00e9s (HSE) en diciembre de 2021, un a\u00f1o despu\u00e9s de que comenzaran las vacunaciones masivas contra el COVID-19 en Irlanda.<\/p>\n
Costello, que tiene una amplia experiencia en la seguridad de los sistemas Salesforce, ahora trabaja como ingeniero de seguridad principal en AppOmni, una startup de seguridad con inter\u00e9s comercial en proteger los sistemas en la nube.<\/p>\n
En una publicaci\u00f3n de blog compartida con TechCrunch antes de su publicaci\u00f3n, Costello dijo que la vulnerabilidad en el portal de vacunaci\u00f3n, construido en la nube de salud de Salesforce, significaba que cualquier miembro del p\u00fablico que se registrara en el portal de vacunaci\u00f3n de HSE podr\u00eda haber accedido a la informaci\u00f3n de salud de otro usuario registrado. .<\/p>\n
Costello dijo que cualquier otra persona pod\u00eda acceder a los registros de administraci\u00f3n de vacunas de m\u00e1s de un mill\u00f3n de residentes irlandeses, incluidos los nombres completos, los detalles de la vacunaci\u00f3n (incluidos los motivos para administrar o negarse a recibir vacunas) y el tipo de vacunaci\u00f3n, entre otros tipos de datos. Tambi\u00e9n descubri\u00f3 que cualquier usuario pod\u00eda acceder a los documentos internos de HSE a trav\u00e9s del portal.<\/p>\n
\u00abAfortunadamente, la capacidad de ver los detalles de la administraci\u00f3n de vacunas de todos no fue inmediatamente obvia para los usuarios habituales que utilizaban el portal como estaba previsto\u00bb, escribi\u00f3 Costello.<\/p>\n
La buena noticia es que nadie m\u00e1s que Costello descubri\u00f3 el error, y el HSE mantuvo registros de acceso detallados que muestran que \u00abno hubo acceso ni visualizaci\u00f3n no autorizada de estos datos\u00bb, seg\u00fan una declaraci\u00f3n dada a TechCrunch.<\/p>\n
\u00abSolucionamos la mala configuraci\u00f3n el d\u00eda que nos alertaron\u00bb, dijo la portavoz de HSE, Elizabeth Fraser, en una declaraci\u00f3n a TechCrunch cuando se le pregunt\u00f3 sobre la vulnerabilidad.<\/p>\n
\u00abLos datos a los que accedi\u00f3 este individuo fueron insuficientes para identificar a cualquier persona sin que se expusieran campos de datos adicionales y, en estas circunstancias, se determin\u00f3 que no era necesario un informe de Violaci\u00f3n de Datos Personales a la Comisi\u00f3n de Protecci\u00f3n de Datos\u00bb, dijo el portavoz de HSE.<\/p>\n
Irlanda est\u00e1 sujeta a estrictas leyes de protecci\u00f3n de datos seg\u00fan el reglamento GDPR de la Uni\u00f3n Europea, que rige la protecci\u00f3n de datos y los derechos de privacidad en toda la UE.<\/p>\n
La divulgaci\u00f3n p\u00fablica de Costello marca m\u00e1s de dos a\u00f1os desde que inform\u00f3 por primera vez sobre la vulnerabilidad. La publicaci\u00f3n de su blog inclu\u00eda una l\u00ednea de tiempo de varios a\u00f1os que revelaba un vaiv\u00e9n entre varios departamentos gubernamentales que no estaban dispuestos a reclamar la divulgaci\u00f3n p\u00fablica. Al final le dijeron que el gobierno no revelar\u00eda p\u00fablicamente el error como si nunca hubiera existido.<\/p>\n
Las organizaciones no est\u00e1n obligadas, incluso seg\u00fan el RGPD, a revelar vulnerabilidades que no hayan resultado en un robo masivo o acceso a datos confidenciales y que queden fuera de los requisitos legales de una violaci\u00f3n de datos real. Dicho esto, la seguridad a menudo se basa en el conocimiento de otros, especialmente aquellos que han experimentado incidentes de seguridad. Compartir ese conocimiento podr\u00eda ayudar a prevenir exposiciones similares en otras organizaciones que de otro modo no se dar\u00edan cuenta. Esta es la raz\u00f3n por la que los investigadores de seguridad tienden a inclinarse hacia la divulgaci\u00f3n p\u00fablica para evitar que se repitan los errores de anta\u00f1o.<\/p>\n<\/p><\/div>\n