Wyciek danych COVID-19 z wynikami testów

mar 23, 2021 | Biblioteka RODO

Wskutek błędów w oprogramowaniu w punktach pobrań w Niemczech i Austrii tysiące wyników szybkich testów wyciekły do sieci. Jak podaje podaje serwis DW.com, wsród danych były także nazwiska i adresy testowanych.

Co najmniej 136.000 wyników szybkich testów na Covid-19 od tygodni jest ogólnie dostępnych w sieci. „Sueddeutsche Zeitung”, „Rundfunk Berlin-Brandenburg” i „Wiener Standard” donoszą o luce w oprogramowaniu w ośrodkach przeprowadzających testy na koronawirusa, powołując się na analizę przeprowadzoną przez zespół ekspertów Zerforschung i Chaos Computer Club (CCC).

Wraz z wynikami testów, w Internecie  znaleziono dane umożliwiające jednoznaczną identyfikację osoby testowanej, takie jak nazwisko, adres, obywatelstwo, numer telefonu komórkowego, płeć, adres e-mail, a w niektórych przypadkach także numer dowodu osobistego. Mogło dojść do pobrania danych przez osoby nieuprawnione. Aby to zrobić, wystarczyło założyć konto w centrum testowym i dostać się do przeglądarki internetowej w takim ośrodku.

Łatwy dostęp do wrażliwych danych COVID-19

Druga luka w zabezpieczeniu oprogramowania umożliwiała przeglądanie statystyk dotyczących aktualnej liczby wyników testów pozytywnych i negatywnych w ośrodkach, a także, przy odrobinie wysiłku, zdjęć kodów QR, które otrzymali badani, wraz z wynikiem testu. Obie luki w zabezpieczeniach naprawiono w zeszłym tygodniu.

Błędy najwyraźniej tkwiły w oprogramowaniu Safeplay austriackiej firmy Medicus AI. Wiele punktów pobrań używa tego programu do przydzielania terminów i udostępniania wyników w formie cyfrowej osobom testowanym. Szczególnie dotknięte zostały punkty prowadzone przez monachijską firmę 21Dx w Monachium, Berlinie, Mannheim i Klagenfurcie w Austrii.

Po odkryciu błędów, Zerforschung i CCC powiadomiły Federalny Urząd Bezpieczeństwa Informacji (BSI), który z kolei poinformował firmę Medicus AI. Jej przedstawiciele przyznali w rozmowie z „Sueddeutsche Zeitung”, że luka w zabezpieczeniach  została „spowodowana przez błąd w aktualizacji oprogramowania z połowy lutego”. Zdaniem BSI „aktualnie nie ma żadnych przesłanek wskazujących na to, że luka została wykorzystana w niewłaściwy sposób”.

Źródło: Deutsche Welle

Polecane treści

Sprawozdanie z działalności Prezesa UODO za rok 2020

Sprawozdanie z działalności Prezesa UODO za rok 2020

Zgodnie z ustawą z 10 maja 2018 roku o ochronie danych osobowych, Prezes UODO złożył sprawozdanie ze swojej działalności w roku 2020. Prezes złożył je Sejmowi Rzeczypospolitej Polskiej, Radzie Ministrów, Rzecznikowi Praw Obywatelskich, Rzecznikowi Praw Dziecka oraz...

Naruszenia i kary za złamanie RODO. Rośnie ich liczba.

Naruszenia i kary za złamanie RODO. Rośnie ich liczba.

Firma DLA Piper opracowała coroczny raport na temat naruszeń danych osobowych i kar finansowych wydanych na podstawie Ogólnego Rozporządzenia o Ochronie Danych (RODO). Analizę przeprowadzono w 27 państwach członkowskich Unii Europejskiej oraz Zjednoczonego Królestwa...

Dane osobowe w szkole i placówce oświaty

Dane osobowe w szkole i placówce oświaty

Właściwe funkcjonowanie placówek oświatowych i szkół nie jest możliwe się bez przetwarzania danych osobowych. Dlatego Urząd Ochrony Danych Osobowych we współpracy z MEN przygotował praktyczny poradnik dotyczący takiego przetwarzania. W opracowaniu wskazano...

Informacja o zdrowiu pacjenta i prawo uprawnionego

Informacja o zdrowiu pacjenta i prawo uprawnionego

Rzecznik Praw Pacjenta oraz Prezes Urzędu Ochrony Danych Osobowych przygotowali „Wytyczne dotyczące realizacji prawa do informacji przez osoby uprawnione na odległość”. Zawarte w nich wskazówki to efekt porozumienia o wzajemnej współpracy pomiędzy RPP, a Prezesem UODO...