Die irische Regierung hat vor zwei Jahren eine Schwachstelle in ihrem nationalen COVID-19-Impfportal behoben, durch die die Impfdaten von rund einer Million Einwohnern offengelegt wurden. Einzelheiten der Sicherheitslücke wurden jedoch erst diese Woche bekannt gegeben, nachdem Versuche, die öffentliche Offenlegung mit der Regierungsbehörde zu koordinieren, ins Stocken gerieten und scheiterten.
Der Sicherheitsforscher Aaron Costello sagte, er habe die Schwachstelle im COVID-19-Impfportal des Irish Health Service Executive (HSE) im Dezember 2021 entdeckt, ein Jahr nach Beginn der Massenimpfungen gegen COVID-19 in Irland.
Costello, der hat umfassendes Fachwissen in der Sicherung von Salesforce-Systemenarbeitet jetzt als leitender Sicherheitsingenieur bei AppOmni, einem Sicherheits-Startup mit kommerziellem Interesse an der Sicherung von Cloud-Systemen.
In einem Blogbeitrag, der vor der Veröffentlichung mit Tech geteilt wurde, sagte Costello, die Schwachstelle im Impfportal – das auf der Gesundheits-Cloud von Salesforce basiert – bedeute, dass jedes Mitglied der Öffentlichkeit, das sich beim HSE-Impfportal registriert, auf die Gesundheitsinformationen eines anderen registrierten Benutzers hätte zugreifen können .
Costello sagte, dass die Impfaufzeichnungen von über einer Million irischen Einwohnern für jedermann zugänglich seien, einschließlich der vollständigen Namen, der Impfdetails (einschließlich der Gründe für die Verabreichung oder Verweigerung der Impfung) und der Art der Impfung sowie anderer Arten von Daten. Er stellte außerdem fest, dass interne HSE-Dokumente für jeden Benutzer über das Portal zugänglich waren.
„Zum Glück war die Möglichkeit, die Impfdetails aller Personen einzusehen, für normale Benutzer, die das Portal wie vorgesehen nutzten, nicht sofort offensichtlich“, schrieb Costello.
Die gute Nachricht ist, dass niemand außer Costello den Fehler entdeckt hat und die HSE detaillierte Zugriffsprotokolle geführt hat, aus denen hervorgeht, dass „kein unbefugter Zugriff oder unbefugte Anzeige dieser Daten stattgefunden hat“, heißt es in einer Erklärung gegenüber Tech.
„Wir haben die Fehlkonfiguration an dem Tag behoben, an dem wir darauf aufmerksam gemacht wurden“, sagte HSE-Sprecherin Elizabeth Fraser in einer Erklärung gegenüber Tech, als sie nach der Sicherheitslücke gefragt wurde.
„Die von dieser Person abgerufenen Daten reichten nicht aus, um eine Person zu identifizieren, ohne dass zusätzliche Datenfelder offengelegt wurden, und unter diesen Umständen wurde festgestellt, dass eine Meldung einer Verletzung des Schutzes personenbezogener Daten an die Datenschutzkommission nicht erforderlich war“, sagte der HSE-Sprecher.
Irland unterliegt strengen Datenschutzgesetzen gemäß der DSGVO-Verordnung der Europäischen Union, die den Datenschutz und die Rechte auf Privatsphäre in der gesamten EU regelt.
Costellos öffentliche Offenlegung markiert mehr als zwei Jahre seit der ersten Meldung der Sicherheitslücke. Sein Blogbeitrag enthielt einen mehrjährigen Zeitstrahl, der ein Hin und Her zwischen verschiedenen Regierungsabteilungen offenbarte, die nicht bereit waren, Anspruch auf öffentliche Offenlegung zu erheben. Letztendlich wurde ihm mitgeteilt, dass die Regierung den Fehler nicht öffentlich bekannt geben würde, als ob er nie existiert hätte.
Selbst nach der DSGVO sind Organisationen nicht dazu verpflichtet, Schwachstellen offenzulegen, die nicht zu einem Massendiebstahl oder Zugriff auf sensible Daten geführt haben und nicht unter die rechtlichen Anforderungen einer tatsächlichen Datenschutzverletzung fallen. Allerdings basiert Sicherheit oft auf dem Wissen anderer, insbesondere derjenigen, die selbst Sicherheitsvorfälle erlebt haben. Die Weitergabe dieses Wissens könnte dazu beitragen, ähnliche Aufdeckungen bei anderen Organisationen zu verhindern, die andernfalls möglicherweise nichts davon mitbekommen würden, und warum Sicherheitsforscher dazu neigen, die Offenlegung öffentlich bekannt zu geben, um eine Wiederholung der Fehler von gestern zu verhindern.