El gobierno irlandés solucionó una vulnerabilidad hace dos años en su portal nacional de vacunación contra el COVID-19 que expuso los registros de vacunación de alrededor de un millón de residentes. Sin embargo, los detalles de la vulnerabilidad no se revelaron hasta esta semana, después de que los intentos de coordinar la divulgación pública con la agencia gubernamental fracasaron y terminaron.
El investigador de seguridad Aaron Costello dijo que descubrió la vulnerabilidad en el portal de vacunación contra el COVID-19 administrado por el Servicio Ejecutivo de Salud de Irlanda (HSE) en diciembre de 2021, un año después de que comenzaran las vacunaciones masivas contra el COVID-19 en Irlanda.
Costello, quien tiene profunda experiencia en asegurar sistemas Salesforce, ahora trabaja como ingeniero de seguridad principal en AppOmni, una startup de seguridad con interés comercial en asegurar sistemas en la nube.
En una publicación en su blog compartida con TechCrunch antes de su publicación, Costello dijo que la vulnerabilidad en el portal de vacunación, construido en la nube de salud de Salesforce, significaba que cualquier miembro del público que se registrara en el portal de vacunación del HSE podía haber accedido a la información de salud de otro usuario registrado.
Costello dijo que los registros de administración de vacunas de más de un millón de residentes irlandeses estaban accesibles para cualquier otra persona, incluidos nombres completos, detalles de vacunación (incluidas razones para administrar o rechazar vacunas) y el tipo de vacunación, entre otros tipos de datos. También encontró que documentos internos del HSE eran accesibles para cualquier usuario a través del portal.
«Afortunadamente, la capacidad de ver los detalles de administración de vacunas de todos no era inmediatamente evidente para los usuarios regulares que estaban utilizando el portal como se pretendía», escribió Costello.
La buena noticia es que nadie más que Costello descubrió el error, y el HSE mantuvo registros detallados de acceso que muestran que no hubo «acceso o visualización no autorizados de estos datos», según una declaración dada a TechCrunch.
«Remediamos la mala configuración el día en que nos alertaron», dijo la portavoz del HSE, Elizabeth Fraser, en una declaración a TechCrunch cuando se le preguntó sobre la vulnerabilidad.
«Los datos accedidos por esta persona eran insuficientes para identificar a cualquier persona sin que se expusieran campos de datos adicionales y, en estas circunstancias, se determinó que no era necesario presentar un informe de Brecha de Datos Personales a la Comisión de Protección de Datos», dijo la portavoz del HSE.
Irlanda está sujeta a estrictas leyes de protección de datos en virtud del Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que regula la protección de datos y los derechos de privacidad en toda la UE.
La divulgación pública de Costello marca más de dos años desde que informó por primera vez sobre la vulnerabilidad. Su publicación en el blog incluyó una línea de tiempo de varios años que reveló un vaivén entre diversos departamentos gubernamentales que no estaban dispuestos a asumir la divulgación pública. Finalmente, se le dijo que el gobierno no divulgaría públicamente el error como si nunca hubiera existido.
No se obliga a las organizaciones, incluso bajo el GDPR, a divulgar vulnerabilidades que no hayan resultado en un robo masivo o acceso a datos sensibles y que estén fuera de los requisitos legales de una brecha de datos real. Dicho esto, la seguridad suele construirse a partir del conocimiento de otros, especialmente aquellos que han experimentado incidentes de seguridad ellos mismos. Compartir ese conocimiento podría ayudar a prevenir exposiciones similares en otras organizaciones que de otra manera podrían permanecer sin saberlo, y es por eso que los investigadores de seguridad tienden a inclinarse hacia la divulgación pública para evitar la repetición de errores del pasado.