İrlandiya Səhiyyə Xidmətinin İcraçı peyvənd saytındakı qüsur xəstə qeydlərini ifşa etdi və açıqlaması iki il çəkdi.
Təhlükəsizlik tədqiqatçısı İrlandiyada bir milyon insanın peyvənd qeydlərini ifşa edən böyük məlumat sızmasının təfərrüatlarını açıqlayıb.
AppOmni-nin baş təhlükəsizlik mühəndisi Aaron Costello, 2021-ci ilin dekabrında İrlandiya Health Service Executive (HSE) tərəfindən idarə olunan Covid-19 peyvənd portalında zəifliyi aşkar etdi.
Kəşf edildikdən sonra o, açıqlama prosesi ilə razılaşa bilməyib - lakin indi dərc etmək qərarına gəlib. Zəifliyin ifşa etdiyi məlumatlara peyvənd alanların tam adları, onların peyvənd statusu və alınan növü və s. daxildir.
Zəiflik HSE tərəfindən Salesforce Health Cloud ilə hazırlanmış peyvənd portalının qeydiyyatdan keçmiş istifadəçilərə həddən artıq icazələr verməsindən irəli gəlir ki, bu da istənilən şəxsə özünü qeydiyyat forması vasitəsilə portala daxil olmağa imkan verir.
Bütün qeydiyyatdan keçmiş istifadəçilərə peyvənd portalının istifadəçi interfeysindən istifadə edərək peyvənd üçün qeydiyyatdan keçmək və ya öz şəxsi peyvənd təyinatı təfərrüatlarına baxmaq kimi hərəkətləri həyata keçirməyə imkan verən xüsusi profil verilmişdir.
Bütün bu məlumatlar Salesforce Health Cloud tətbiqi daxilində müxtəlif məlumat cədvəllərində saxlanılırdı.
"Təəssüf ki, profilin icazələrini konfiqurasiya edən şəxslər təsadüfən profilə peyvənd administrasiyası ilə bağlı məlumatların saxlanmasına cavabdeh olan Health Cloud obyektinə görünməmiş bir giriş imkanı verdilər" dedi Costello.
"Bundan başqa, eyni profilə təsadüfən HSE üzrə daxili sənədləri ehtiva edən qovluğa oxumaq imkanı verilmişdi. Buna görə də, həssas məlumatlar portalda qeydiyyatdan keçmiş hər kəs tərəfindən endirilə və yayıla bilərdi."
Costello aşkar etdi ki, zərərli istifadəçi peyvənd portalında qeydiyyatdan keçərək və avtomatik olaraq həddindən artıq imtiyazlı Salesforce profili təyin edilərək məlumatlara daxil ola bilərdi.
API vasitəsilə onlar daha sonra Salesforce platformasındakı bütün obyektlərə, o cümlədən Health Cloud tətbiqinə aid olan obyektlərə baxa, mövcud obyektlərin siyahısını təkrarlaya və onların daxilindəki verilənlərə, eyni anda minlərlə məlumat sırasına daxil olmağa cəhd edə bilərdilər.
HSE araşdırmaq üçün cəld hərəkət etdi və məlumatlara daxil olmaq mümkün deyil.
"Biz tanıya bilərik ki, bu peyvənd portalı dünyada bir çox hökumətlərin öz vətəndaşları üçün vahid sadələşdirilmiş peyvənd idarəetmə həllini təmin etmək üçün səy göstərdiyi xüsusilə xaotik bir dövrdə yerləşdirilib" dedi Kostello.
Zəiflik HSE-ə böyük ransomware hücumundan bir neçə ay sonra aşkar edilib. 100.000-dən çox xəstənin şəxsi məlumatları dövlət satınalmaları və elektron hökumət üzrə nazir Ossian Smyth-in "İrlandiya Dövlətinə bəlkə də ən əhəmiyyətli kiberhücum" kimi təsvir etdiyi bir əməliyyatda sındırıldı.
Ölkə üzrə bütün HSE İT sistemləri bağlandı və hadisənin 100 milyon avrodan çox başa gəldiyi təxmin edilən aylarla fasilələr oldu.
İstinad:
www.itpro.com
Təhlükəsizlik tədqiqatçısı İrlandiyada bir milyon insanın peyvənd qeydlərini ifşa edən böyük məlumat sızmasının təfərrüatlarını açıqlayıb.
AppOmni-nin baş təhlükəsizlik mühəndisi Aaron Costello, 2021-ci ilin dekabrında İrlandiya Health Service Executive (HSE) tərəfindən idarə olunan Covid-19 peyvənd portalında zəifliyi aşkar etdi.
Kəşf edildikdən sonra o, açıqlama prosesi ilə razılaşa bilməyib - lakin indi dərc etmək qərarına gəlib. Zəifliyin ifşa etdiyi məlumatlara peyvənd alanların tam adları, onların peyvənd statusu və alınan növü və s. daxildir.
Zəiflik HSE tərəfindən Salesforce Health Cloud ilə hazırlanmış peyvənd portalının qeydiyyatdan keçmiş istifadəçilərə həddən artıq icazələr verməsindən irəli gəlir ki, bu da istənilən şəxsə özünü qeydiyyat forması vasitəsilə portala daxil olmağa imkan verir.
Bütün qeydiyyatdan keçmiş istifadəçilərə peyvənd portalının istifadəçi interfeysindən istifadə edərək peyvənd üçün qeydiyyatdan keçmək və ya öz şəxsi peyvənd təyinatı təfərrüatlarına baxmaq kimi hərəkətləri həyata keçirməyə imkan verən xüsusi profil verilmişdir.
Bütün bu məlumatlar Salesforce Health Cloud tətbiqi daxilində müxtəlif məlumat cədvəllərində saxlanılırdı.
"Təəssüf ki, profilin icazələrini konfiqurasiya edən şəxslər təsadüfən profilə peyvənd administrasiyası ilə bağlı məlumatların saxlanmasına cavabdeh olan Health Cloud obyektinə görünməmiş bir giriş imkanı verdilər" dedi Costello.
"Bundan başqa, eyni profilə təsadüfən HSE üzrə daxili sənədləri ehtiva edən qovluğa oxumaq imkanı verilmişdi. Buna görə də, həssas məlumatlar portalda qeydiyyatdan keçmiş hər kəs tərəfindən endirilə və yayıla bilərdi."
Costello aşkar etdi ki, zərərli istifadəçi peyvənd portalında qeydiyyatdan keçərək və avtomatik olaraq həddindən artıq imtiyazlı Salesforce profili təyin edilərək məlumatlara daxil ola bilərdi.
API vasitəsilə onlar daha sonra Salesforce platformasındakı bütün obyektlərə, o cümlədən Health Cloud tətbiqinə aid olan obyektlərə baxa, mövcud obyektlərin siyahısını təkrarlaya və onların daxilindəki verilənlərə, eyni anda minlərlə məlumat sırasına daxil olmağa cəhd edə bilərdilər.
HSE araşdırmaq üçün cəld hərəkət etdi və məlumatlara daxil olmaq mümkün deyil.
"Biz tanıya bilərik ki, bu peyvənd portalı dünyada bir çox hökumətlərin öz vətəndaşları üçün vahid sadələşdirilmiş peyvənd idarəetmə həllini təmin etmək üçün səy göstərdiyi xüsusilə xaotik bir dövrdə yerləşdirilib" dedi Kostello.
Zəiflik HSE-ə böyük ransomware hücumundan bir neçə ay sonra aşkar edilib. 100.000-dən çox xəstənin şəxsi məlumatları dövlət satınalmaları və elektron hökumət üzrə nazir Ossian Smyth-in "İrlandiya Dövlətinə bəlkə də ən əhəmiyyətli kiberhücum" kimi təsvir etdiyi bir əməliyyatda sındırıldı.
Ölkə üzrə bütün HSE İT sistemləri bağlandı və hadisənin 100 milyon avrodan çox başa gəldiyi təxmin edilən aylarla fasilələr oldu.
İstinad:
How a user access bug in Ireland’s vaccination website exposed more than a million records
A flaw in the Irish Health Service Executive vaccination website exposed patient records and took two years to disclose
www.itpro.com