La scorsa settimana, la Comunità di Madrid esposto a moltitudine di dati personali di milioni di madrileni. Inserendo semplicemente un DNI, è stato possibile ottenere informazioni come il numero di telefono, il nome completo e l'indirizzo fisico. Ora, una sentenza simile ha colpito il Dipartimento di Salute e benessere della Generalitat de Catalunya .
La violazione della sicurezza ha rivelato il nome, l'ID e tutte le informazioni relative al vaccino e alla nomina di ciascun cittadino catalano. La violazione della sicurezza è stata chiusa questo fine settimana e in linea di principio non ha compromesso alcuna informazione clinica poiché lì sono disponibili solo i dati sulla vaccinazione. Inoltre, non hanno prove che i dati siano stati divulgati o indicizzati da un utente malintenzionato.
Il bug è stato corretto questo fine settimana
Il gruppo di hacker etici che ha scoperto questo fallimento si chiama " Razzo di squadra “, e lo riferirono alla Generalitat e ad altri organizzazioni statali per la sicurezza informatica . Il gruppo ha fatto un massiccio test di richiesta per attirare l'attenzione di l'ufficio tecnico , e sembra che abbia funzionato, dal momento che affermano di aver rilevato che il sito Web di autocitazione per il vaccino ha rilevato un "numero di richieste di informazioni fuori dall'ordinario".
Questo sito, per la sua sensibilità, riceve un monitoraggio continuo di questo tipo di attività, e ha rapidamente individuato le richieste di accesso al di fuori del normale flusso definito. Gli hacker hanno confermato che sono stati loro a effettuare questi test, e per questo affermano anche dalla Generalitat che non c'è stato alcun accesso di massa improprio. Tuttavia, i dati sono stati esposti e le informazioni di una persona specifica potrebbero essere state consultate di volta in volta.
Terzo errore nella gestione dei dati in due mesi
Questo fallimento è il terzo del suo genere di cui si ha notizia nelle ultime settimane, dopo i due subiti dal Comunità di Madrid nel Portale certificato COVID , Così come nella sistema di autocitazione per l' vaccino . In quest'ultimo, sono stati esposti più dati, poiché è stato incluso il numero di telefono o la data di nascita.
Tuttavia, la più grave ad oggi è quella subita dal web per ottenere il certificato COVID, poiché, semplicemente modificando il DNI nell'URL , è stato possibile ottenere dati personali come nome, numero di telefono, indirizzo e data di nascita, consentendo l'accesso, ad esempio, ai dati di persone residenti nella Comunità di Madrid come il re Felipe VI o il presidente Pedro Sánchez.
L'Agenzia spagnola per la protezione dei dati (AEPD) sta attualmente indagando su fughe di dati e se sarà opportuno sanzionare queste falle di sicurezza. Nel caso del sito web del certificato COVID a Madrid, la Comunità ha pagato 225,000 euro a Indra per il suo sviluppo.
