Ръководство за предотвратяване на изтичане на данни беше налично една година преди порталът за ваксини на HSE да бъде компрометиран

Ръководство за попречване на приключване на данни на HSE, което остави налична информацията за имунизирането на един милион души, беше оповестено една година преди случая, съгласно сигурността откривател, който го извади нескрито.

Компютърна неточност означаваше, че порталът за имунизиране против Covid на HSE остави данните на един милион души уязвими.

Това включваше цялостните имена, имунизационен статус и типа на имунизирани хора.

Проблемът беше открит през декември 2021 година от Арън Костело, откривател по сигурността и основен инженер по сигурността на програмен продукт като услуга в компанията за киберсигурност AppOmni.

Г-н Костело оспорва изказванието на HSE, че данните, оставени отворени от „ неправилната настройка “, са били налични единствено за хора с „ изчерпателен механически опит “. не беше фактът, че миналата година, октомври 2020 година, в персоналния си блог разгласих малко по малко методология за това по какъв начин да правите тези типове офанзиви... и по какъв начин да се предпазвате от тях. Беше, с цел да образова хората за тези типове офанзиви на Salesforce.

„ Тази обява в блога стана много вирусна, всеки можеше да прочете моята обява в блога, когато уеб сайтът на HSE беше отворен в браузъра им, и да го последва, с цел да извлече информация.

„ В резултат на това, че моите проучвания са обществени за това по какъв начин да извършвам тези типове неща, не бих споделил, че въобще изисква дълбока техническа експертиза.

„ Тъй като това проучвания, има автоматизирани принадлежности, свободно налични онлайн, тъй че можех да го изтегля на компютъра на татко ми и просто да го вървя след през URL адреса, тъй че не бих се съгласил с това изказване. “

Г-н Костело сподели той разкри информацията пред обществеността, защото това е нещо, което счита, че HSE е трябвало да направи, дружно с разкриването й на Комисията за отбрана на данните.

„ Можете единствено да си визиите, че е взето решение, което взема поради събитията по това време, които желаеха всеобща имунизация за по-голямата част от популацията, и това беше единствено няколко месеца след хакерската атака на HSE от съветски артисти. В резултат на това това евентуално би възпряло хората да се записват, тъй като може да не са считали, че информацията им е безвредна.

„ Наистина мисля, че това проучване, което се разгласява в този момент, несъмнено ще има резултат върху доверието в HSE. "

Той също по този начин уточни, че не е ясно къде е виновността за казуса, защото изпълнителите са работили по портала за ваксини.

" Тази седмица получих известие в Linkedin от лице в IBM, което сподели, че е работило по плана. Успях да намеря на уеб страницата на IBM, че са оповестили обществено, че работят по плана. Като вземете това поради, каква отговорност са имали изпълнителите по този план? Те ли бяха виновни за администрирането на този уеб страница и настройката му? В този случай чия е грешката в действителност е сива линия. "

Той сподели също, че е незаслужено да се твърди, че HSE не се пробват да модернизират тяхната киберсигурност, защото платформата Salesforce, на която е основан уебсайтът, е съвременна и настояща система.

Това в действителност беше техен опит да модернизират процеса, само че за жалост не се получи както е планувано.

„ Имаше доста спекулации от хора по какъв начин се е случило това и доста споделят „ о, това е типично HSE, употребявайки стар програмен продукт и остарели практики “.

„ Неприятната истина е, че Salesforce се употребява от най-големите организации в света като програмен продукт и това беше доста съвременен метод за внедряване на портал за имунизиране. Това в действителност беше техен опит да модернизират процеса, само че за жалост не се получи по проект. Надявам се, че това няма да ги възпира да следват съвременни практики в бъдеще.

„ Този ​​проблем нямаше да стане незабавно явен за всеки, който просто употребява портала и си резервира час. Всъщност това, което се случи, беше, когато даден консуматор се е записал, той е получил позволение на уеб страницата да сътвори среща и да прочете детайлностите за срещата си, което е обикновено.

„ При конфигурирането на уеб страницата обаче те инцидентно са дали прекалено много досегаемост за четене на всички записали се. Това е толкоз просто, колкото просто да изберете неверната кутия в действителност. Вместо да кажат „ записаният консуматор би трябвало да може да вижда своята лична информация “ и единствено своята лична, те инцидентно са го конфигурирали да споделя „ може да чете цялата информация за назначение на имунизация “.

„ Това е същността на проблем, това са прекалено много привилегии, дадени на регистрирани консуматори. “

Г-н Костело предизвести HSE за казуса през декември 2021 година и сподели, че е впечатлен от отговора.

„ Аз беше удовлетворен от това какъв брой бързо е поправката. HSE твърдеше, че е било същия ден. Не потвърдих в този ден, само че получих удостоверение седмица по-късно, че е поправено, тъй че бях удовлетворен какъв брой бързо са го поправили и всяка им чест за това. "

Той обаче счита, че те „ разочароват хората, като не са дружелюбни за това " и че е негова отговорност да показа информацията с обществеността.

„ Това беше единствено по-късната полемика за това чия е отговорността да го изведе на публичното внимание и дали службата за отбрана на данните би трябвало да бъде осведомена. Това беше мястото, където те разочароваха хората.

„ Чувствам, че е тяхна отговорност да бъдат по-предпазливи за това.

„ Казаха, че това е проблем, а това е възмутим термин да употребявам. Те ми споделиха, че не виждат злоумишлен опит за достъп до данните. Трябваше да допускам на думата им, че бях единствено аз. Ще бъде доста мъчно да се получи някакво доказателство, че е задоволително оценено, защото тези системи SaaS (софтуер като услуга) не са като типичните уеб страници. Те трябваше да проучват някои доста характерни източници на информация от журнала, с цел да дефинират, че няма достъп до данни. Никога няма да разберем дали са го създали задоволително и вярно.

„ Някой ме назова адресант на сигнали, което съгласно мен е извънредно. Но като жител усещам, че нося известна отговорност да оказвам помощ да запазим публичната инфраструктура в сигурност от злонамерени участници. Важно е да дадем своя принос, изключително със знанията, които имаме. "

Въпреки че HSE сподели, че никакви злонамерени участници не са имали достъп до информацията, господин Костело сподели, че това елементарно е могло да се случи.

Причина за отвод

Той също по този начин уточни, че положението на имунизацията се смята за сензитивна информация от доста хора и че аргументите за отвод също са налични в приключването.

„ Това е сензитивна информация. Нещо значимо, което HSE прескочи, когато споделиха, че ще би трябвало да има повече достъп, с цел да бъдат налични същински чувствителни данни. Едно от нещата, които бяха разкрити, беше повода за отвод за тези, които не са се ваксинирали. Ако някой страда от здравно положение, което го е попречило да се имунизира или каквото и да е, това би било разполагаем. "

Можете да прочетете цялата обява в блога на Арън Костело тук.