Ръководство за предотвратяване на изтичане на данни беше налично една година преди порталът за ваксини на HSE да бъде компрометиран
Ръководство за предотвратяване на изтичане на данни на HSE, което остави достъпна информацията за ваксинирането на един милион души, беше публикувано една година преди инцидента, според сигурността изследовател, който го извади наяве.
Компютърна грешка означаваше, че порталът за ваксиниране срещу Covid на HSE остави данните на един милион души уязвими.
Това включваше пълните имена, ваксинационен статус и вида на ваксинирани хора.
Проблемът беше открит през декември 2021 г. от Арън Костело, изследовател по сигурността и главен инженер по сигурността на софтуер като услуга в компанията за киберсигурност AppOmni.
Г-н Костело оспорва твърдението на HSE, че данните, оставени отворени от „неправилната конфигурация“, са били достъпни само за хора с „задълбочен технически опит“. не беше фактът, че предходната година, октомври 2020 г., в личния си блог публикувах стъпка по стъпка методология за това как да извършвате тези видове атаки... и как да се предпазвате от тях. Беше, за да образова хората за тези видове атаки на Salesforce.
„Тази публикация в блога стана доста вирусна, всеки можеше да прочете моята публикация в блога, когато сайтът на HSE беше отворен в браузъра им, и да го последва, за да извлече информация.
„В резултат на това, че моите изследвания са публични за това как да изпълнявам тези видове неща, не бих казал, че изобщо изисква дълбока техническа експертиза.
„Тъй като това изследвания, има автоматизирани инструменти, свободно достъпни онлайн, така че можех да го изтегля на компютъра на баща ми и просто да го последвам през URL адреса, така че не бих се съгласил с това твърдение.“
Г-н Костело каза той разкри информацията пред обществеността, тъй като това е нещо, което смята, че HSE е трябвало да направи, заедно с разкриването й на Комисията за защита на данните.
„Можете само да си представите, че е взето решение, което взема предвид обстоятелствата по това време, които искаха масова ваксинация за по-голямата част от населението, и това беше само няколко месеца след кибератаката на HSE от руски актьори. В резултат на това това потенциално би възпряло хората да се регистрират, защото може да не са смятали, че информацията им е безопасна.
„Наистина мисля, че това изследване, което се публикува сега, определено ще има ефект върху доверието в HSE."
Той също така посочи, че не е ясно къде е вината за проблема, тъй като изпълнителите са работили по портала за ваксини.
"Тази седмица получих съобщение в Linkedin от лице в IBM, което каза, че е работило по проекта. Успях да намеря на уебсайта на IBM, че са обявили публично, че работят по проекта. Като вземете това предвид, каква отговорност са имали изпълнителите по този проект? Те ли бяха отговорни за администрирането на този уебсайт и настройката му? В този случай чия е грешката всъщност е сива линия."
Той каза също, че е несправедливо да се твърди, че HSE не се опитват да модернизират тяхната киберсигурност, тъй като платформата Salesforce, на която е базиран уебсайтът, е модерна и актуална система.
Това наистина беше техен опит да модернизират процеса, но за съжаление не се получи както е планирано.
„Имаше много спекулации от хора как се е случило това и много казват „о, това е типично HSE, използвайки остарял софтуер и остарели практики“.
„Неприятната истина е, че Salesforce се използва от най-големите организации в света като софтуер и това беше много модерен начин за внедряване на портал за ваксиниране. Това наистина беше техен опит да модернизират процеса, но за съжаление не се получи по план. Надявам се, че това няма да ги възпира да следват модерни практики в бъдеще.
„Този проблем нямаше да стане веднага очевиден за всеки, който просто използва портала и си запазва час. Всъщност това, което се случи, беше , когато даден потребител се е регистрирал, той е получил разрешение на сайта да създаде среща и да прочете подробностите за срещата си, което е нормално.
„При конфигурирането на сайта обаче те случайно са дали твърде много достъпност за четене на всички записали се. Това е толкова просто, колкото просто да изберете грешната кутия наистина. Вместо да кажат „регистрираният потребител трябва да може да вижда своята собствена информация“ и само своята собствена, те случайно са го конфигурирали да казва „може да чете цялата информация за назначаване на ваксинация“.
„Това е същността на проблем, това са твърде много привилегии, дадени на регистрирани потребители.“
Г-н Костело предупреди HSE за проблема през декември 2021 г. и каза, че е впечатлен от отговора.
„Аз беше доволен от това колко бързо е поправката. HSE твърдеше, че е било същия ден. Не потвърдих в този ден, но получих потвърждение седмица по-късно, че е поправено, така че бях доволен колко бързо са го поправили и всяка им чест за това."
Той обаче смята, че те „разочароват хората, като не са отзивчиви за това" и че е негова отговорност да сподели информацията с обществеността.
Аарон Костело, ръководител на Software-as-a -Проучване на сигурността на услугите в AppOmni.„Това беше само по-късната дискусия за това чия е отговорността да го изведе на общественото внимание и дали службата за защита на данните трябва да бъде информирана. Това беше мястото, където те разочароваха хората.
„Чувствам, че е тяхна отговорност да бъдат по-предпазливи за това.
„Казаха, че това е проблем, а това е възмутителен термин да използвам. Те ми казаха, че не виждат злонамерен опит за достъп до данните. Трябваше да повярвам на думата им, че бях само аз. Ще бъде много трудно да се получи някакво доказателство, че е достатъчно анализирано, тъй като тези системи SaaS (софтуер като услуга) не са като типичните уебсайтове. Те трябваше да анализират някои много специфични източници на информация от журнала, за да определят, че няма достъп до данни. Никога няма да разберем дали са го направили достатъчно и правилно.
„Някой ме нарече подател на сигнали, което според мен е крайно. Но като гражданин чувствам, че нося известна отговорност да помагам да запазим обществената инфраструктура в безопасност от злонамерени участници. Важно е да дадем своя принос, особено със знанията, които имаме."
Въпреки че HSE каза, че никакви злонамерени участници не са имали достъп до информацията, г-н Костело каза, че това лесно е могло да се случи .
Причина за отказ
Той също така посочи, че състоянието на ваксината се счита за чувствителна информация от много хора и че причините за отказ също са налични в изтичането.
„Това е чувствителна информация. Нещо важно, което HSE прескочи, когато казаха, че ще трябва да има повече достъп, за да бъдат налични истински чувствителни данни. Едно от нещата, които бяха разкрити, беше причината за отказ за тези, които не са се ваксинирали . Ако някой страда от медицинско състояние, което го е попречило да се ваксинира или каквото и да е, това би било на разположение."
Можете да прочетете цялата публикация в блога на Арън Костело тук.
