استغرق الكشف علنًا عن خطأ في موقع ويب للحكومة الأيرلندية كشف عن سجلات التطعيم ضد فيروس كورونا (كوفيد-19).
أصلحت الحكومة الأيرلندية ثغرة أمنية قبل عامين في بوابة التطعيم الوطنية ضد فيروس كورونا (كوفيد-19)، والتي كشفت عن سجلات التطعيم لحوالي مليون مقيم. لكن لم يتم الكشف عن تفاصيل الثغرة الأمنية إلا هذا الأسبوع بعد توقف وانتهت محاولات تنسيق الكشف العام مع الوكالة الحكومية.
قال الباحث الأمني آرون كوستيلو إنه اكتشف الثغرة الأمنية في بوابة التطعيم ضد كوفيد-19 التي يديرها المدير التنفيذي للخدمات الصحية الأيرلندية (HSE) في ديسمبر 2021، بعد عام من بدء التطعيمات الجماعية ضد كوفيد-19 في أيرلندا.
كوستيلو، الذي يتمتع بخبرة عميقة في تأمين أنظمة Salesforce، يعمل الآن كمهندس أمان رئيسي في AppOmni، وهي شركة أمنية ناشئة لها مصلحة تجارية في تأمين الأنظمة السحابية.
في منشور مدونة تمت مشاركته مع TechCrunch قبل نشره، قال كوستيلو إن الثغرة الأمنية في بوابة التطعيم – المبنية على السحابة الصحية الخاصة بـ Salesforce – تعني أن أي فرد من الجمهور يقوم بالتسجيل في بوابة التطعيم HSE كان بإمكانه الوصول إلى المعلومات الصحية لمستخدم مسجل آخر .
وقال كوستيلو إن سجلات إدارة اللقاح لأكثر من مليون مقيم أيرلندي كانت في متناول أي شخص آخر، بما في ذلك الأسماء الكاملة وتفاصيل التطعيم (بما في ذلك أسباب إعطاء اللقاحات أو رفض تناولها)، ونوع التطعيم، من بين أنواع أخرى من البيانات. ووجد أيضًا أن وثائق الصحة والسلامة والبيئة الداخلية يمكن لأي مستخدم الوصول إليها من خلال البوابة.
وكتب كوستيلو: “لحسن الحظ، لم تكن القدرة على رؤية تفاصيل إدارة التطعيم للجميع واضحة على الفور للمستخدمين العاديين الذين كانوا يستخدمون البوابة على النحو المنشود”.
والخبر السار هو أنه لم يكتشف أي شخص آخر غير كوستيلو الخطأ، واحتفظت هيئة الصحة والسلامة والبيئة بسجلات وصول مفصلة توضح أنه “لم يكن هناك وصول أو عرض غير مصرح به لهذه البيانات”، وفقًا لبيان تم تقديمه إلى TechCrunch.
قالت المتحدثة باسم HSE إليزابيث فريزر في بيان لـ TechCrunch عندما سُئلت عن الثغرة الأمنية: “لقد عالجنا التكوين الخاطئ في اليوم الذي تم تنبيهنا فيه”.
وقال المتحدث باسم هيئة الصحة والسلامة والبيئة: “البيانات التي وصل إليها هذا الشخص لم تكن كافية لتحديد هوية أي شخص دون الكشف عن حقول بيانات إضافية، وفي هذه الظروف، تقرر أن تقرير خرق البيانات الشخصية إلى لجنة حماية البيانات ليس مطلوبًا”.
تخضع أيرلندا لقوانين صارمة لحماية البيانات بموجب لائحة القانون العام لحماية البيانات (GDPR) للاتحاد الأوروبي، والتي تحكم حماية البيانات وحقوق الخصوصية في جميع أنحاء الاتحاد الأوروبي.
يمثل الكشف العام لـ Costello مرور أكثر من عامين منذ الإبلاغ عن الثغرة الأمنية لأول مرة. تضمنت منشوراته على مدونته جدولًا زمنيًا متعدد السنوات يكشف عن تقلبات بين مختلف الإدارات الحكومية التي لم تكن راغبة في المطالبة بالإفصاح العلني. قيل له في النهاية أن الحكومة لن تكشف علنًا عن الخطأ كما لو أنه لم يكن موجودًا على الإطلاق.
المنظمات ليست ملزمة، حتى بموجب اللائحة العامة لحماية البيانات، بالكشف عن نقاط الضعف التي لم تؤدي إلى سرقة جماعية أو الوصول إلى البيانات الحساسة وتقع خارج نطاق المتطلبات القانونية لخرق فعلي للبيانات. ومع ذلك، غالبًا ما يتم بناء الأمن على معرفة الآخرين، وخاصة أولئك الذين تعرضوا لحوادث أمنية بأنفسهم. يمكن أن تساعد مشاركة هذه المعرفة في منع التعرضات المماثلة في المؤسسات الأخرى التي قد لا تكون على علم بذلك، ولماذا يميل الباحثون الأمنيون إلى الميل نحو الكشف العلني لمنع تكرار الأخطاء التي حدثت في العام الماضي.
