Vorige week heeft de Gemeenschap van Madrid blootgesteld aan veelvoud van persoonlijke gegevens van miljoenen Madrilenen. Door simpelweg een DNI in te voeren, was het mogelijk om informatie te verkrijgen zoals het telefoonnummer, de volledige naam en het fysieke adres. Nu heeft een soortgelijke uitspraak invloed gehad op de Departement Gezondheid van de Generalitat de Catalunya .
De inbreuk op de beveiliging heeft de naam, ID en alle informatie met betrekking tot het vaccin en de benoeming van elke burger van Catalonië blootgelegd. De inbreuk op de beveiliging is dit weekend gesloten en heeft in principe geen klinische informatie in gevaar gebracht, aangezien daar alleen vaccinatiegegevens beschikbaar zijn. Ook hebben ze geen bewijs dat de gegevens zijn gelekt of geïndexeerd door een aanvaller.
De bug is dit weekend verholpen
De groep ethische hackers die dit falen ontdekte, heet ” Team Rocket “, en ze rapporteerden het aan de Generalitat en andere staat cyberbeveiligingsorganisaties . De groep deed een enorme verzoektest om de aandacht te trekken van de technische afdeling , en het lijkt erop dat het werkte, aangezien ze beweren dat ze ontdekten dat de zelfcitatiewebsite voor het vaccin een "aantal verzoeken om ongewone informatie" detecteerde.
Deze website wordt, vanwege zijn gevoeligheid, continu gemonitord van dit soort activiteiten en ze identificeerden snel toegangsverzoeken buiten de normaal gedefinieerde stroom. De hackers hebben bevestigd dat zij deze tests hebben uitgevoerd en om deze reden bevestigen ze ook van de Generalitat dat er geen sprake is geweest van ongeoorloofde massale toegang. De gegevens zijn echter openbaar gemaakt en de informatie van een specifieke persoon is mogelijk van tijd tot tijd ingezien.
Derde fout in gegevensbeheer in twee maanden
Deze mislukking is de derde in zijn soort die we de afgelopen weken kennen, nadat de twee leden onder de Gemeenschap van Madrid in de COVID-certificaatportaal , evenals in de zelfcitatiesysteem voor de vaccin . Bij de laatste kwamen meer gegevens vrij, doordat het telefoonnummer of de geboortedatum was opgenomen.
De ernstigste tot nu toe is echter degene die het internet heeft geleden om het COVID-certificaat te verkrijgen, omdat, alleen door de DNI in de URL , was het mogelijk om persoonlijke gegevens zoals naam, telefoonnummer, adres en geboortedatum te verkrijgen, waardoor toegang werd verkregen tot bijvoorbeeld gegevens van mensen die in de Gemeenschap van Madrid wonen, zoals koning Felipe VI of president Pedro Sánchez.
Het Spaanse agentschap voor gegevensbescherming (AEPD) onderzoekt momenteel datalekken en onderzoekt of het gepast is om voor deze beveiligingsfouten een boete op te leggen. In het geval van de COVID-certificaatwebsite in Madrid betaalde de Gemeenschap 225,000 euro aan Indra voor de ontwikkeling ervan.
