یک اشکال امنیتی در برنامه بهداشتی Docket اطلاعات خصوصی ساکنان واکسینه شده علیه کووید-19 در نیوجرسی و یوتا را افشا کرد، جایی که این برنامه تأییدیههایی را از مقامات ایالتی دریافت کرد.
Docket به ساکنان این امکان را می دهد که با گرفتن سوابق واکسیناسیون خود از مقامات بهداشتی ایالت خود، نسخه دیجیتالی ایمن سازی خود را دانلود و حمل کنند. کپی دیجیتال همان اطلاعات کارت کاغذی COVID-19 را دارد، اما به صورت دیجیتالی توسط دولت برای جلوگیری از جعل امضا شده است. Docket یکی از چندین پاسپورت به اصطلاح واکسن در ایالات متحده است که به ساکنان این امکان را می دهد تا سوابق واکسیناسیون خود – یا یک کد QR قابل اسکن – را برای ورود به رویدادها، رستوران ها یا عبور از کشورهایی که واکسن مورد نیاز است نشان دهند.
اما برای مدتی، این برنامه به هر کسی اجازه دسترسی به کدهای QR سایر کاربران واکسینه شده و تمام اطلاعات شخصی و واکسن رمزگذاری شده در آن را می داد. این شامل نام، تاریخ تولد، و اطلاعات مربوط به وضعیت واکسیناسیون کووید-19 یک فرد، مانند نوع واکسن و زمان دریافت آن است.
TechCrunch روز سه شنبه این اشکال را کشف کرد و بلافاصله با شرکت تماس گرفت. مایکل پرتا، مدیر اجرایی Docket گفت که این باگ چند ساعت بعد در سطح سرور برطرف شد.
این اشکال در نحوه درخواست کد QR کاربر توسط برنامه Docket از سرورهای خود مشاهده شد. کد QR کاربر در قالب یک کارت سلامت SMART بر روی سرور تولید میشود، استانداردی که به طور گسترده پذیرفته شده برای تأیید وضعیت واکسیناسیون یک فرد در سراسر جهان است. این کد QR به یک شناسه کاربری گره خورده است که از طریق برنامه قابل مشاهده نیست، اما با مشاهده ترافیک شبکه آن با استفاده از نرم افزارهای آماده مانند Burp Suite یا Charles Proxy قابل مشاهده است.
اما سرورهای Docket برای اطمینان از اینکه فردی که درخواست کد QR میکند، اجازه درخواست آن را دارد، بررسی نمیکردند. این بدان معناست که هر کاربر برنامه میتواند شناسه کاربری خود را تغییر دهد و کد QR شخص دیگری را درخواست کند. بدتر از آن، شناسههای کاربر Docket متوالی هستند و بنابراین کدهای QR جدید را میتوان به سادگی با تغییر شناسه کاربر با یک رقم واحد برشمرد.
مشخص نیست که آیا شخص دیگری این اشکال را کشف کرده است یا خیر. پرتا گفت که این شرکت “در حال حاضر در حال بررسی گزارشها برای تعیین اینکه آیا فعالیت مخربی در پلتفرم وجود داشته است یا خیر.” پرتا همچنین گفت که این شرکت در تلاش است تا دولت های ایالتی را در مورد این نقص اطلاع دهد، اما نگفت که آیا این شرکت قصد دارد کاربران خود را از نقص امنیتی مطلع کند یا خیر.
نانسی کرنی، سخنگوی وزارت بهداشت نیوجرسی، در بیانیهای گفت: «دپارتمان بهداشت نیوجرسی توسط فروشنده ما، Docket، از آسیبپذیری کد مربوط به انتشار اخیر یک کد QR مرتبط با برنامه مطلع شد. داکت به وزارت اطمینان داد که آسیبپذیری موجود در کد را شناسایی و رفع کرده است. هیچ عملکرد دیگری از برنامه تحت تأثیر قرار نگرفت. حفظ حریم خصوصی و امنیت کاربران Docket در درجه اول اهمیت قرار دارد. در این زمان، Docket در حال بررسی برای هرگونه نشانه ای از سوابق احتمالی است که ممکن است به خطر بیفتد. این وزارتخانه به همکاری با داکت ادامه می دهد تا از هوشیاری مداوم آنها در این مورد اطمینان حاصل کند.
سخنگوی وزارت بهداشت مینه سوتا نیز پاسخی نداد. (Docket برای ساکنان مینه سوتا در دسترس است، اما ایالت هنوز کدهای QR را به کار نگرفته است.)
تام هوداچکو، سخنگوی وزارت بهداشت یوتا، گفت: “وزارت بهداشت یوتا متعهد به تضمین حریم خصوصی ساکنان یوتا است و از پیمانکاران و شرکای خود انتظار دارد همین تعهد را حفظ کنند. Docket به ما اطلاع داد [Tuesday] یک اشکال در سیستم خود که به طور بالقوه می تواند به کاربران اجازه دهد اطلاعات شخصی سایر کاربران را دریافت کنند. Docket به ما اطمینان داده است که آنها علت این باگ را شناسایی کرده اند و این مشکل را حل کرده اند.”
هوداچکو گفت: «ما در حال کار با Docket و تیمهای امنیت دادههای خود هستیم تا کاربرانی را که ممکن است اطلاعات آنها بهطور نامناسب به اشتراک گذاشته شده را شناسایی کنیم و اعلانهای مناسب را برای آن افراد ارائه کنیم.
اما سوالاتی در مورد چگونگی رفع اشکال در ابتدا باقی می ماند. دقیقاً مشخص نیست که پرونده چند نفر از افراد واکسینه شده در خطر است. هفته گذشته، داکت گفت که رسیده است یک میلیون کاربر. نیوجرسی و یوتا مجموعاً 8.5 میلیون ساکن دارند که حداقل یک دوز از واکسن کووید-19 را در زمان نگارش این مقاله دریافت کردهاند.
وقتی از پرتا پرسیده شد که چه نوع آزمایش امنیتی روی Docket قبل از راه اندازی آن انجام شده است، نمی گوید.
هوداچکو از یوتا گفت که داکت توسط مراکز خدمات مدیکر و مدیکید (CMS) و دفتر هماهنگ کننده ملی فناوری اطلاعات سلامت (ONC)، دو دفتری که در وزارت بهداشت و درمان ایالات متحده قرار دارند، “بازبینی کامل امنیتی” را انجام داده است. خدمات (HHS). یکی از سخنگویان ONC اظهار نظر به CMS و HHS را به تعویق انداخت، که هیچ کدام به درخواستهای ما برای اظهار نظر پاسخ ندادند.
مرکز کنترل و پیشگیری از بیماری (CDC) که این برنامه را تأیید کرده است، همچنین به سؤالاتی که از آژانس میپرسیدند آیا آژانس یک بررسی امنیتی انجام داده است، پاسخ نداد.
Docket تنها سازنده اپلیکیشن پاسپورت واکسن نیست که با مشکلات امنیتی مواجه شده است. اشکال یافت شده در برنامه Docket تقریباً یک مشکل مشابه در برنامه ای به نام Aura است که هزاران کد QR حاوی وضعیت واکسیناسیون کارکنان و دانش آموزان را نشان می دهد. و در اوایل سال جاری، برنامه اثبات واکسیناسیون مستقر در کلگری، Portpass، اطلاعات شخصی صدها هزار نفر را پس از ناامن گذاشتن وبسایت خود، افشا کرد، در حالی که یک هکر توانست با استفاده از مدرک رسمی کبک، یک پاسپورت واکسن کاملا جعلی ایجاد کند. -برنامه واکسیناسیون