加利福尼亚州一家医疗初创公司网站的漏洞使大量COVID-19测试结果面临风险该公司关闭了一个网站,该网站曾用于允许客户在漏洞发生后访问其测试结果。TotalTestingSolutions在整个洛杉矶拥有10个COVID-19测试站点,每周在工作场所、体育场馆和学校处理“数千”次COVID-19测试。当测试结果准备就绪时,客户会收到一封电子邮件,其中包含一个网站链接以获取他们的结果。但一位客户表示,他们发现了一个网站漏洞,允许他们通过在网站地址中添加或减去数字来访问其他客户的信息。这允许此客户查看其他客户的姓名和他们的测试日期。该网站还只需要一个人的出生日期就可以访问他们的COVID-19测试结果,发现该漏洞的客户表示,“没多久”就可以通过暴力破解,或者只是猜测。(对于30岁以下的人来说,这只是11,000次生日猜测)虽然测试结果网站有一个登录页面,提示客户输入他们的电子邮件地址和密码,但该网站允许客户更改他们的URL并访问其他客户信息易受攻击的部分可以直接访问来自网络,完全绕过登录提示。该缺陷可能使大约60,000项测试处于危险之中,这些测试是通过有限测试发现的。TTS首席医疗官杰弗里·特伦克尔(GeoffreyTrenkle)证实了这一漏洞,对暴力破解没有提出异议,但表示,该漏洞仅限于用于传递遗留测试结果的内部服务器,该服务器后来被关闭并被新服务器取代。基于云的系统被取代。该公司在一份声明中说:“我们最近意识到我们以前的内部服务器存在潜在的安全漏洞,该漏洞可能允许使用URL操作和出生日期编程代码的组合来访问某些患者的姓名和结果。”该漏洞仅限于在创建基于云的服务器之前在公共测试站点获得的患者信息。为了应对这种潜在威胁,我们立即关闭了企业内部的软件,并开始将这些数据迁移到安全的云系统中,以防止未来数据泄露的风险。我们还启动了漏洞评估,其中包括审查服务器访问日志以检测任何无法识别的网络活动或异常的身份验证失败。目前,TTS尚未发现由于其之前的服务器出现问题而导致不安全的受保护健康信息泄露的情况。据我们所知,几乎没有患者的健康信息受到损害,所有风险都已降低。“TotalTestingSolution表示将遵守州法律规定的法律义务,但没有具体说明公司是否计划将漏洞通知客户。虽然公司没有义务向其所在州的总检察长或客户报告漏洞,但许多公司确实这样做了所以出于非常谨慎的考虑。”报告,因为并非总能确定是否存在不当访问。
