Noticias Tecnológicas

El sistema de registro de Walgreens para las pruebas Covid-19 ha revelado datos de pacientes

Si ha realizado una prueba de Covid-19 en Walgreens, su información personal, incluido su nombre, fecha de nacimiento, identidad de género, número de teléfono, dirección y correo electrónico, se ha dejado en la web abierta para que todos puedan verla y para múltiples visualizaciones Collect trackers en el sitio web de Walgreens. En algunos casos, los resultados de estas pruebas podrían incluso obtenerse a partir de estos datos.

La exposición de los datos puede afectar a millones de personas que han usado o continúan usando los servicios de prueba Covid-19 de Walgreens durante la pandemia.

Varios expertos en seguridad le dijeron a Recode que las vulnerabilidades encontradas en el sitio web son cuestiones fundamentales que el sitio web de una de las cadenas de farmacias más grandes de Estados Unidos debería haber evitado. Walgreens se ha anunciado a sí mismo como un «socio clave en las pruebas», y las compañías de seguros y el gobierno reembolsan a la compañía por estas pruebas.

Alejandro Ruiz, consultor de Interstitial Technology PBC, descubrió los problemas en marzo después de que un familiar se sometiera a una prueba de Covid-19. Dice que se comunicó con Walgreens por correo electrónico, teléfono y mediante el formulario de seguridad del sitio web. La empresa no respondió, dice, lo que no le sorprende.

«Cualquier empresa que haya cometido errores tan fundamentales en una aplicación que procesa datos de salud no se está tomando la seguridad en serio», dijo Ruiz.

Recode informó a Walgreens sobre los hallazgos de Ruiz, que fueron confirmados por otros dos expertos en seguridad. Recode le dio tiempo a Walgreens para corregir las vulnerabilidades antes del lanzamiento, pero Walgreens no lo hizo.

«Regularmente revisamos e integramos mejoras de seguridad adicionales si lo consideramos necesario o apropiado», dijo la empresa a Recode.

Los datos confidenciales de las personas podrían estar expuestos a numerosas empresas de publicidad y datos para que los utilicen para sus propios fines, o podrían verse disuadidos de obtener una prueba de Covid-19 de Walgreens si no están seguros de que sus datos estén seguros. Las vulnerabilidades de la plataforma también son otro ejemplo de cómo las tecnologías diseñadas para ayudar a contener la pandemia se han desarrollado o implementado con demasiada rapidez y negligencia para abordar por completo la privacidad y la seguridad.

Walgreens tampoco quiso decir cuánto tiempo su plataforma de registro de prueba tuvo estos defectos. Se remontan al menos a marzo cuando Ruiz los descubrió, y probablemente mucho más. Walgreens ha estado ofreciendo pruebas de Covid-19 desde abril de 2020, y Wayback Machine, que mantiene archivos en Internet, muestra páginas de datos de confirmación de prueba en blanco ya en julio de 2020, lo que indica que el problema estaba al menos tan atrás.

Los problemas radican en el sistema de registro de citas de prueba Walgreens Covid-19 que debe usar cualquier persona que quiera hacerse una prueba Walgreens (a menos que compren una prueba de venta libre). Una vez que el paciente haya completado y enviado el formulario, se le asignará un número de identificación único de 32 dígitos y se creará una página de solicitud de cita que incluye la identificación única en la URL.

La página que se creó después de que un paciente se registró para una prueba Covid-19 (la identificación del paciente en la URL se volvió borrosa).

Cualquiera que tenga un enlace a esta página puede ver la información que contiene; No es necesario que se autentique como paciente ni inicie sesión en una cuenta. El sitio permanecerá activo durante al menos seis meses, si no más.

«El proceso técnico que usaba Walgreens para proteger la información confidencial de las personas era prácticamente inexistente», dijo a Recode Zach Edwards, investigador de privacidad y fundador de la firma de análisis Victory Medium.

Las URL de estas páginas son las mismas, con la excepción de una identificación de paciente única, que está contenida en lo que se conoce como una «cadena de consulta», la parte de la URL que comienza con un signo de interrogación. Dado que se han realizado millones de pruebas en más de 6.000 sitios de prueba de Walgreens utilizando este sistema de registro, es probable que haya millones de identificaciones activas. Se podría adivinar una identificación activa, o un hacker determinado podría crear un bot que generaría rápidamente URL con la esperanza de llegar a páginas activas, dijeron los expertos en seguridad a Recode, brindándoles una fuente de información biográfica sobre las personas que podrían piratear las cuentas que podrían usar. en otros sitios. Pero dada la cantidad de caracteres en los ID y las combinaciones que los acompañan, dijeron que era casi imposible encontrar una sola página activa de esa manera, incluso con los millones de ellos disponibles. Por supuesto, lo casi imposible no siempre es imposible.

Cualquier persona con acceso al historial de navegación de otra persona también puede ver la página. Por ejemplo, podría ser un empleador que registra la actividad en Internet de sus empleados o alguien que accede al historial de navegación en una computadora pública o compartida.

«Security by Obscurity es un modelo terrible para los registros de salud», dijo a Recode Sean O’Brien, fundador de Yales Privacy Lab.

Lo que hace que esta fuga potencial sea mucho peor es la cantidad de datos almacenados en el sitio web y quién más podría acceder a ellos. En las propias páginas de acceso público, solo son visibles el nombre del paciente, el tipo de prueba y la hora y el lugar de la cita, pero mucho más que eso detrás de escena, a las que se puede acceder a través de cualquier navegador.

Al igual que con las citas de vacunación, Walgreens necesita mucha información personal para inscribirse en una de sus pruebas: nombre completo, fecha de nacimiento, número de teléfono, dirección de correo electrónico, dirección postal e identidad de género. Y con solo unos pocos clics en el área de herramientas de desarrollo de un navegador, cualquier persona con acceso a una página de paciente específica puede encontrar esta información.

Las páginas de confirmación de Walgreens contienen mucha información personal confidencial (borrosa).

Las páginas de confirmación de Walgreens contienen mucha información personal confidencial (borrosa).

Contiene un «orderId» y el nombre del laboratorio que realizó la prueba. Esa es toda la información que alguien necesita para acceder a los resultados de las pruebas a través de al menos uno de los portales de resultados de pruebas Covid-19 administrados por los socios de laboratorio de Walgreens, aunque solo los resultados de los últimos 30 días estaban disponibles cuando un reportero de Recode los buscó.

Ruiz y los otros expertos en seguridad con los que habló Recode también expresaron su alarma por la cantidad de rastreadores que Walgreens colocó en sus páginas de confirmación. Señalan la posibilidad de que las empresas propietarias de estos rastreadores, incluidos Adobe, Akami, Dotomi, Facebook, Google, InMoment, Monetate y todos sus socios de intercambio de datos, puedan incluir las identificaciones de pacientes que podrían usarse para determinar las URL de la páginas de citas y acceder a la información contenida en ellas.

«La gran cantidad de rastreadores de terceros conectados al sistema de citas es un problema antes de pensar en la configuración descuidada», dijo O’Brien de Yale.

Un análisis de Edwards, el investigador de protección de datos, encontró que varias de estas empresas recibieron URI o identificadores uniformes de recursos de las páginas de citas. Estos podrían usarse para acceder a los datos del paciente si así lo solicita la empresa que los recibe. Dijo que este tipo de filtración era similar a la que encontró en sitios como Wish, Quibi y JetBlue en abril de 2020, pero «mucho peor», ya que solo se filtraron direcciones de correo electrónico en esos casos.

«Este es un flujo de datos de tecnología publicitaria dirigida que sería realmente decepcionante o un error colosal que pone a una gran parte de los clientes de Walgreens en riesgo de violaciones de la cadena de suministro de datos», dijo Edwards.

Walgreens le dijo a Recode que proteger la información personal de sus pacientes era una «máxima prioridad», pero que también existía la necesidad de proteger la información con la provisión de pruebas Covid-19 «para aquellos que buscan una prueba». Hacerla lo más accesible posible «.

«Evaluamos continuamente nuestras soluciones tecnológicas para brindar servicios digitales seguros y accesibles a nuestros clientes y pacientes», dijo Walgreens.

Una vez más, Walgreens no solucionó los problemas antes del plazo extendido que Recode le había dado a la empresa, ni notificaría a Recode si así lo tenía previsto. No abordó las preguntas de Recode sobre los rastreadores de anuncios, más allá de explicar el uso de cookies en su política de privacidad. Sin embargo, el seguimiento por cookies no fue el problema que Recode y Ruiz identificaron con Walgreens, y la compañía no hizo más comentarios cuando se lo explicó.

“Ese es un claro ejemplo [of this type of vulnerability], pero con datos de Covid y toneladas de información de identificación personal ”, dijo Edwards. «Me sorprende que refute esta clara violación».

Los datos de los familiares de Ruiz, junto con los de potencialmente millones de otros pacientes, son válidos hasta el día de hoy.

«Es sólo otro ejemplo de una gran empresa que pone sus ganancias por encima de nuestra privacidad», dijo.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba