ระบบการลงทะเบียนทดสอบ Covid-19 ที่เลอะเทอะของ Walgreens เปิดเผยข้อมูลผู้ป่วยอย่างไร

ระบบการลงทะเบียนทดสอบ Covid-19 ที่เลอะเทอะของ Walgreens เปิดเผยข้อมูลผู้ป่วยอย่างไร

อัปเดต 20 กันยายน:หลายวันหลังจากที่เรื่องราวนี้เผยแพร่ และหลังจากปฏิเสธว่าการตั้งค่าหน้าเดิมไม่ปลอดภัย Walgreens ได้เพิ่มหน้าจอการตรวจสอบสิทธิ์ลงในหน้ายืนยันการทดสอบ Covid-19 ทำให้ผู้ไม่หวังดีเข้าถึงข้อมูลได้ยากขึ้น . ด้วยหน้าจอการตรวจสอบสิทธิ์ใหม่ ทุกคนที่ต้องการเข้าถึงหน้ายืนยันการทดสอบจะต้องป้อนวันเกิดของผู้ป่วยก่อน ตัวติดตามโฆษณาหลายตัวยังคงปรากฏบนหน้าผู้ป่วย

Alejandro Ruiz ที่ปรึกษาของ Interstitial Technology PBC ซึ่งค้นพบข้อมูลที่อาจรั่วไหลในครั้งแรก บอกกับ Recode ว่าเขาไม่คิดว่าการแก้ไขของ Walgreens ดีพอ Ruiz กล่าวว่าเขาต้องการวิธีการตรวจสอบที่มีความปลอดภัยมากกว่า เช่น รหัสผ่าน และตั้งข้อสังเกตว่า Application Programming Interface (API) ซึ่งช่วยให้ Walgreens และผู้โฆษณาสามารถสื่อสารกันและแลกเปลี่ยนข้อมูลกันได้

Walgreens บอกกับ Recode ว่าได้เพิ่ม “เลเยอร์เพิ่มเติม” ลงในไซต์ด้วยความระมัดระวังอย่างมาก และเสริมว่าไม่ได้ตระหนักถึงหลักฐานที่น่าเชื่อถือใดๆ เกี่ยวกับการเข้าถึงข้อมูลผู้ป่วยโดยไม่ได้รับอนุญาต

ทำไมพันธมิตรของอเมริกากังวลเกี่ยวกับการสิ้นสุดของ Roe

“การปกป้องข้อมูลส่วนบุคคลของลูกค้าและผู้ป่วยถือเป็นหนึ่งในความสำคัญสูงสุดของเราเสมอ ซึ่งเราให้ความสำคัญอย่างยิ่ง” บริษัทกล่าว

หากคุณได้รับการทดสอบ Covid-19 ที่ Walgreens ข้อมูลส่วนบุคคลของคุณ รวมถึงชื่อ วันเกิด อัตลักษณ์ทางเพศ หมายเลขโทรศัพท์ ที่อยู่ และอีเมล จะถูกทิ้งไว้บนเว็บเปิดเพื่อให้ทุกคนสามารถเห็นและสำหรับโฆษณาหลายรายการ ตัวติดตามบนไซต์ของ Walgreens เพื่อรวบรวม ในบางกรณี แม้แต่ผลลัพธ์ของการทดสอบเหล่านี้ก็สามารถรวบรวมได้จากข้อมูลนั้น

การเปิดเผยข้อมูลอาจส่งผลกระทบต่อผู้คนหลายล้านคนที่ใช้ — หรือยังคงใช้ — บริการทดสอบ COVID-19 ของ Walgreens ตลอดช่วงการระบาดใหญ่

ผู้เชี่ยวชาญด้านความปลอดภัยหลายคนบอกกับ Recode ว่าช่องโหว่ที่พบในไซต์เป็นปัญหาพื้นฐานที่เว็บไซต์ของเครือข่ายร้านขายยาที่ใหญ่ ที่สุด แห่งหนึ่งในสหรัฐอเมริกาควรหลีกเลี่ยง Walgreens ได้เลื่อนตำแหน่งตัวเองเป็น “พันธมิตรที่สำคัญในการทดสอบ” และบริษัทจะได้รับเงินคืนสำหรับการทดสอบเหล่านั้นโดยบริษัทประกันภัยและรัฐบาล

Alejandro Ruiz ที่ปรึกษาของ Interstitial Technology PBC ค้นพบปัญหาในเดือนมีนาคมหลังจากที่สมาชิกในครอบครัวได้รับการทดสอบ Covid-19 เขาบอกว่าเขาติดต่อ Walgreens ทางอีเมล โทรศัพท์ และผ่านแบบฟอร์มความปลอดภัยของ เว็บไซต์ บริษัทไม่ตอบสนอง เขาพูด ซึ่งไม่ได้ทำให้เขาประหลาดใจ

“บริษัทใดๆ ที่ทำข้อผิดพลาดพื้นฐานดังกล่าวในแอป

ที่จัดการข้อมูลการดูแลสุขภาพคือบริษัทที่ไม่คำนึงถึงความปลอดภัยอย่างจริงจัง” Ruiz กล่าว

Recode แจ้ง Walgreens เกี่ยวกับการค้นพบของ Ruiz ซึ่งได้รับการยืนยันโดยผู้เชี่ยวชาญด้านความปลอดภัยอีกสองคน Recode ให้เวลา Walgreens ในการแก้ไขช่องโหว่ก่อนเผยแพร่ แต่ Walgreens ไม่ได้ทำเช่นนั้น

“เราตรวจสอบและรวมการปรับปรุงความปลอดภัยเพิ่มเติมเป็นประจำเมื่อเห็นว่าจำเป็นหรือเหมาะสม” บริษัท บอกกับ Recode

ข้อมูลที่ละเอียดอ่อนของผู้คนอาจเปิดเผยต่อบริษัทโฆษณาและข้อมูลจำนวนมากเพื่อใช้สำหรับวัตถุประสงค์ของตนเอง หรือพวกเขาอาจไม่ได้รับการแนะนำจากการทดสอบ Covid-19 จาก Walgreens หากพวกเขาไม่มั่นใจว่าข้อมูลของพวกเขาจะปลอดภัย ช่องโหว่ของแพลตฟอร์มนี้ยังเป็นอีก ตัวอย่าง หนึ่ง ของวิธีการที่เทคโนโลยีมีไว้เพื่อช่วยในความพยายามในการหยุดการระบาดใหญ่หรือถูกนำไปใช้อย่างรวดเร็วและประมาทเกินไปที่จะคำนึงถึงความเป็นส่วนตัวและความปลอดภัย อย่าง เต็มที่

Walgreens จะไม่บอกว่าแพลตฟอร์มการลงทะเบียนทดสอบมีช่องโหว่เหล่านี้นานแค่ไหน พวกเขาย้อนกลับไปอย่างน้อยในเดือนมีนาคม เมื่อรุยซ์ค้นพบพวกเขา และน่าจะนานกว่านั้นมาก Walgreens ได้เสนอการทดสอบ Covid-19 ตั้งแต่เดือนเมษายน 2020 และ Wayback Machine ซึ่งเก็บข้อมูลถาวรของอินเทอร์เน็ตแสดงหน้าข้อมูลยืนยันการทดสอบที่ว่างเปล่าจนถึงเดือนกรกฎาคม 2020 ซึ่งบ่งชี้ว่าปัญหาเกิดขึ้นอย่างน้อยก็จนถึงตอนนี้

ปัญหาอยู่ในระบบการลงทะเบียนนัดหมายการทดสอบ Covid-19 ของ Walgreens ซึ่งใครก็ตามที่ต้องการรับการทดสอบจาก Walgreens ต้องใช้ (เว้นแต่พวกเขาจะซื้อการ ทดสอบที่ไม่ต้อง สั่งโดยแพทย์ ) หลังจากที่ผู้ป่วยกรอกและส่งแบบฟอร์มแล้ว จะมีการกำหนดหมายเลขประจำตัว 32 หลักที่ไม่ซ้ำกันให้กับพวกเขา และสร้างหน้าคำขอนัดหมายซึ่งมีรหัสเฉพาะใน URL

เพจที่สร้างขึ้นหลังจากผู้ป่วยลงทะเบียนสำหรับการทดสอบ Covid-19 (ID ผู้ป่วยใน URL ถูกเบลอ)

เพจที่สร้างขึ้นหลังจากผู้ป่วยลงทะเบียนสำหรับการทดสอบ Covid-19 (ID ผู้ป่วยใน URL ถูกเบลอ)

ทุกคนที่มีลิงก์ไปยังหน้านั้นสามารถดูข้อมูลได้ ไม่จำเป็นต้องตรวจสอบว่าเป็นผู้ป่วยหรือลงชื่อเข้าใช้บัญชี เพจยังคงใช้งานอยู่อย่างน้อยหกเดือน หากไม่มากกว่านั้น

“กระบวนการทางเทคนิคที่ Walgreens นำไปใช้เพื่อปกป้องข้อมูลที่ละเอียดอ่อนของผู้คนนั้นแทบจะไม่มีเลย” Zach Edwards นักวิจัยด้านความเป็นส่วนตัวและผู้ก่อตั้ง Victory Medium บริษัทวิเคราะห์กล่าวกับ Recode

URL สำหรับหน้าเหล่านี้เหมือนกัน ยกเว้น ID 

ผู้ป่วยที่ไม่ซ้ำกันซึ่งอยู่ในสิ่งที่เรียกว่า “สตริงการสืบค้น” ซึ่งเป็นส่วนหนึ่งของ URL ที่ขึ้นต้นด้วยเครื่องหมายคำถาม เนื่องจากการทดสอบหลายล้านรายการในไซต์ทดสอบกว่า 6,000 แห่งของ Walgreens ดำเนินการโดยใช้ระบบการลงทะเบียนนี้ จึงมีแนวโน้มว่าจะมี ID ที่ใช้งานอยู่หลายล้านรายการ ID ที่ใช้งานอยู่สามารถเดาได้หรือแฮ็กเกอร์ที่มุ่งมั่นสามารถสร้างบอทที่สร้าง URL อย่างรวดเร็วโดยหวังว่าจะเข้าสู่หน้าที่ใช้งานอยู่ใด ๆ ผู้เชี่ยวชาญด้านความปลอดภัยบอก Recode โดยให้แหล่งข้อมูลชีวประวัติเกี่ยวกับบุคคลที่อาจใช้เพื่อแฮ็คบัญชีของพวกเขา บนเว็บไซต์อื่นๆ แต่เมื่อพิจารณาจากจำนวนอักขระที่อยู่ใน ID และจำนวนชุดค่าผสมที่มี พวกเขากล่าวว่าแทบจะเป็นไปไม่ได้เลยที่จะค้นหาหน้าที่ใช้งานอยู่เพียงหน้าเดียวด้วยวิธีนี้ แม้ว่าจะมีหลายล้านหน้าก็ตาม แน่นอน ใกล้เคียงเป็นไปไม่ได้ ไม่เหมือนเป็นไปไม่ได้

ทุกคนที่มีสิทธิ์เข้าถึงประวัติการเรียกดูของผู้อื่นสามารถเห็นหน้าดังกล่าวได้ ซึ่งอาจรวมถึงนายจ้างที่บันทึกกิจกรรมทางอินเทอร์เน็ตของพนักงาน เช่น บุคคลที่เข้าถึงประวัติเบราว์เซอร์บนคอมพิวเตอร์สาธารณะหรือคอมพิวเตอร์ที่ใช้ร่วมกัน

Sean O’Brien ผู้ก่อตั้ง Privacy Lab ของ Yale กล่าวว่า “การรักษาความปลอดภัยด้วยความสับสนเป็นแบบอย่างที่น่ากลัวสำหรับบันทึกข้อมูลด้านสุขภาพ

สิ่งที่ทำให้การรั่วไหลที่อาจเกิดขึ้นแย่ลงอย่างมากคือปริมาณข้อมูลที่ถูกเก็บไว้บนเว็บไซต์และใครบ้างที่สามารถเข้าถึงได้ เฉพาะชื่อของผู้ป่วย ประเภทของการทดสอบ เวลาและสถานที่นัดหมายและสถานที่เท่านั้นที่จะมองเห็นได้บนเพจที่เปิดเผยต่อสาธารณะ แต่ยิ่งกว่านั้นเบื้องหลัง สามารถเข้าถึงได้ผ่านเบราว์เซอร์ใดๆ

เช่นเดียวกับการนัดหมายวัคซีน Walgreens ต้องการข้อมูลส่วนบุคคลจำนวนมากเพื่อลงทะเบียนสำหรับการทดสอบอย่างใดอย่างหนึ่ง: ชื่อเต็ม วันเกิด หมายเลขโทรศัพท์ ที่อยู่อีเมล ที่อยู่ทางไปรษณีย์ และอัตลักษณ์ทางเพศ และด้วยการคลิกไม่กี่ครั้งในแผงเครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ของเบราว์เซอร์ ใครก็ตามที่สามารถเข้าถึงหน้าของผู้ป่วยรายใดรายหนึ่งจะสามารถค้นหาข้อมูลนี้ได้

หน้ายืนยันของ Walgreens มีข้อมูลส่วนบุคคลที่ละเอียดอ่อนมากมาย (เบลอ)

หน้ายืนยันของ Walgreens มีข้อมูลส่วนบุคคลที่ละเอียดอ่อนมากมาย (เบลอ)

รวมเป็น “orderId” เช่นเดียวกับชื่อของห้องปฏิบัติการที่ทำการทดสอบ นั่นคือข้อมูลทั้งหมดที่ต้องมีเพื่อเข้าถึงผลการทดสอบผ่านพอร์ทัลผลการทดสอบ Covid-19 ของพันธมิตรห้องแล็บของ Walgreens อย่างน้อยหนึ่งแห่ง แม้ว่าจะมีเพียงผลลัพธ์จาก 30 วันที่ผ่านมาเมื่อนักข่าว Recode มองดูเธอ

Ruiz และผู้เชี่ยวชาญด้านความปลอดภัยคนอื่น ๆ Recode ได้พูดคุยด้วยแสดงความตื่นตระหนกถึงจำนวนผู้ติดตาม Walgreens ที่วางไว้ในหน้ายืนยัน พวกเขาระบุถึงความเป็นไปได้ที่บริษัทต่างๆ ที่เป็นเจ้าของเครื่องมือติดตามเหล่านี้ รวมถึง Adobe, Akami, Dotomi, Facebook, Google, InMoment, Monetate รวมถึงพันธมิตรการแบ่งปันข้อมูลของพวกเขา อาจนำเข้า ID ผู้ป่วย ซึ่งสามารถใช้เพื่อ หา URL ของหน้าการนัดหมายและเข้าถึงข้อมูลที่เก็บไว้

O’Brien จาก Yale กล่าวว่า “มีเพียงเครื่องติดตามบุคคลที่สามจำนวนมากที่เชื่อมต่อกับระบบนัดหมายเท่านั้นที่เป็นปัญหา ก่อนที่คุณจะพิจารณาการตั้งค่าที่เลอะเทอะ” O’Brien จาก Yale กล่าว

การวิเคราะห์จาก Edwards นักวิจัยด้านความเป็นส่วนตัว 

พบว่าบริษัทเหล่านั้นหลายแห่งได้รับ URI หรือ Uniform Resource Identifiers จากหน้าการนัดหมาย ข้อมูลเหล่านี้สามารถใช้เพื่อเข้าถึงข้อมูลผู้ป่วยได้หากบริษัทที่รับข้อมูลดังกล่าวมีแนวโน้มสูง เขากล่าวว่าการรั่วไหลประเภทนี้คล้ายกับสิ่งที่เขาค้นพบบนเว็บไซต์รวมถึง Wish, Quibi และ JetBlue ในเดือนเมษายน 2020 แต่ “แย่กว่านั้นมาก” เนื่องจากมีเพียงที่อยู่อีเมลเท่านั้นที่รั่วไหลในกรณีเหล่านั้น

“นี่เป็นโฟลว์ข้อมูลเทคโนโลยีโฆษณาที่มีจุดประสงค์ ซึ่งน่าผิดหวังอย่างแท้จริง หรือเป็นความผิดพลาดครั้งใหญ่ที่ทำให้ลูกค้า Walgreens ส่วนใหญ่เสี่ยงต่อการละเมิดห่วงโซ่อุปทานของข้อมูล” Edwards กล่าว

Walgreens บอกกับ Recode ว่าการปกป้องข้อมูลส่วนบุคคลของผู้ป่วยเป็น “ความสำคัญสูงสุด” แต่ก็ต้องทำให้สมดุลระหว่างความจำเป็นในการรักษาความปลอดภัยข้อมูลกับการทดสอบ Covid-19 “เข้าถึงได้มากที่สุดสำหรับผู้ที่ต้องการการทดสอบ”

“เราประเมินโซลูชันเทคโนโลยีของเราอย่างต่อเนื่องเพื่อให้บริการดิจิทัลที่ปลอดภัย ปลอดภัย และเข้าถึงได้แก่ลูกค้าและผู้ป่วยของเรา” Walgreens กล่าว

อีกครั้ง Walgreens ไม่ได้แก้ไขปัญหาก่อนกำหนดเส้นตายที่ขยายเวลา Recode ให้กับบริษัท และจะไม่บอก Recode ว่ามีแผนที่จะทำเช่นนั้นหรือไม่ ไม่ได้ตอบคำถามของ Recode เกี่ยวกับเครื่องมือติดตามโฆษณา เว้นแต่จะบอกว่ามีการใช้คุกกี้อธิบายไว้ในนโยบายความเป็นส่วนตัว อย่างไรก็ตาม การติดตามผ่านคุกกี้ไม่ใช่ปัญหาที่ Recode และ Ruiz ระบุต่อ Walgreens และบริษัทไม่ได้ให้ความเห็นเพิ่มเติมเมื่อมีการอธิบายเรื่องนี้

“นี่เป็นตัวอย่างที่ชัดเจน [ของช่องโหว่ประเภทนี้] แต่ด้วยข้อมูลของ Covid และข้อมูลส่วนบุคคลจำนวนมากที่สามารถระบุตัวตนได้” Edwards กล่าว “ฉันตกใจที่พวกเขาปฏิเสธการละเมิดที่ชัดเจนนี้”

ข้อมูลของสมาชิกในครอบครัวของรุยซ์ และข้อมูลของผู้ป่วยที่อาจอีกหลายล้านคน ยังคงอยู่ในปัจจุบัน

“นี่เป็นอีกตัวอย่างหนึ่งของบริษัทขนาดใหญ่ที่ให้ความสำคัญกับผลกำไรมากกว่าความเป็นส่วนตัวของเรา” เขากล่าว