愛爾蘭政府兩年前修復其國傢COVID-19疫苗接種門戶網站的一個漏洞,該漏洞暴露約一百萬居民的疫苗接種記錄。但直到本周,在試圖與政府機構協調公開披露漏洞的努力陷入僵局後,該漏洞的細節才被披露出來。
安全研究人員亞倫-科斯特洛(Aaron Costello)說,他於2021年12月在愛爾蘭衛生服務管理局(HSE)運行的COVID-19疫苗接種門戶網站上發現這一漏洞,而當時愛爾蘭剛剛開始大規模接種COVID-19疫苗一年。
科斯特洛在確保 Salesforce 系統安全方面擁有深厚的專業知識,現在他在 AppOmni 擔任首席安全工程師,這是一傢安全初創公司,其商業利益在於確保雲系統的安全。
科斯特洛在發表前分享的一篇博文中說,疫苗接種門戶網站(建立在 Salesforce 的健康雲上)的漏洞意味著,任何在 HSE 疫苗接種門戶網站註冊的公眾都可以訪問另一個註冊用戶的健康信息。不僅如此,其他任何人都可以查閱 100 多萬愛爾蘭居民的疫苗接種記錄,包括全名、疫苗接種詳情(包括接種或拒絕接種疫苗的原因)、疫苗接種類型以及其他類型的數據。他還發現,任何用戶都可以通過門戶網站訪問 HSE 的內部文件。
值得慶幸的是,對於按照預期使用門戶網站的普通用戶來說,查看每個人疫苗接種管理詳情的功能並沒有立即顯現出來。
好消息是,除科斯特洛之外,沒有人發現這個漏洞,而且 HSE 保存詳細的訪問日志,顯示"沒有未經授權訪問或查看這些數據"。
當被問及該漏洞時,HSE 發言人 Elizabeth Fraser 在給 TechCrunch 的一份聲明中說:"我們在接到警報的當天就修復錯誤配置。在沒有暴露其他數據字段的情況下,此人訪問的數據不足以識別任何人,在這種情況下,決定不需要向數據保護委員會提交個人數據泄露報告。"
愛爾蘭嚴格遵守歐盟 GDPR 法規下的數據保護法,該法規對整個歐盟的數據保護和隱私權做出規定。
科斯特洛的公開披露標志著自首次報告該漏洞以來的兩年多時間。他在博文中列出一個長達數年的時間軸,揭示政府各部門不願公開披露漏洞的來回過程。他最終被告知,政府不會公開披露該漏洞,就好像它從未存在過一樣。
即使根據 GDPR,組織也沒有義務披露未導致敏感數據被大規模竊取或訪問的漏洞,這些漏洞不屬於實際數據泄露的法律要求范圍。盡管如此,安全通常是建立在他人的知識基礎上的,尤其是那些親身經歷過安全事件的人。分享這些知識有助於防止其他組織出現類似的漏洞,否則這些組織可能會一無所知,這也是為什麼安全研究人員傾向於公開披露,以防止重蹈覆轍的原因。