Vulnerabilidades no software de rastreamento COVID-19 do governo de UP colocam a segurança de milhões em risco

A Índia não teve o melhor registro quando se trata de ferramentas de rastreamento de contatos, como ficou evidente pela Aarogya Setu fiasco. No entanto, parece que outra ferramenta do governo do estado de Uttar Pradesh pode ter levado a coroa para a ferramenta de rastreamento de contatos mais insegura do país. De acordo com um relatório publicado pela empresa de pesquisa de segurança cibernética vpnMentor e revisado pela O Portal Tecnológicoa empresa identificou uma série de vulnerabilidades óbvias no aplicativo.

A ferramenta, apelidada de “Plataforma de Vigilância Uttar Pradesh Covid-19” e construída pelo governo do estado de Uttar Pradesh, foi lançada com o objetivo de rastrear e rastrear pacientes com coronavírus. resolvido, pois o vpnMentor encontrou vulnerabilidades na plataforma que a deixaram facilmente exposta a hackers e ataques maliciosos, o que poderia ter devastado a resposta de Uttar Pradesh à pandemia de Coronavírus.

Em termos gerais, a organização reconheceu três vulnerabilidades principais na plataforma. Primeiro, ele encontrou um repositório git não seguro revelando informações técnicas, incluindo senhas para contas de administrador na plataforma e um despejo de dados SQL. Agora, isso tornou o painel de administração da plataforma acessível a qualquer pessoa com as senhas retiradas do repositório git. Por fim, também foi encontrado um índice separado de arquivos CSV contendo relatórios diários de pacientes com COVID-19 acessíveis sem senha ou outras credenciais de login.

O repositório git permitiria que qualquer pessoa com conhecimento da URL da plataforma e acesso ao repositório git obtivesse acesso completo ao seu painel de administração. Esses controles administrativos, por sua vez, permitiriam que invasores assumissem a base de controle e fizessem modificações, como modificação de entradas, fechamento de arquivos de casos, alteração de dados de pacientes, modificação de resultados de testes, envio de pessoas saudáveis ​​para quarentena, remoção precoce de pacientes da quarentena, alteração de resultados de testes negativos para positivo, e vice-versa, e muito mais.

Além disso, os arquivos CSV continham várias formas de dados de informações de identificação pessoal (PII) para cada indivíduo testado para COVID-19 em Uttar Pradesh, incluindo: nomes completos, idades, sexos, endereços de residência, números de telefone etc.

O pior é que o vpnMentor entrou em contato com a embaixada israelense na Índia em 10 de agosto para obter as violações, mas não houve resposta. Não foi até 10 de setembro que as vulnerabilidades foram corrigidas, também depois que o site entrou em contato com o CERT-In várias vezes sem nenhum feedback.

Leave a Reply

Your email address will not be published. Required fields are marked *