COVID-19 Tracking-app 'COVID Kaya' lekt gegevens
Een mobiele app die is ontworpen om te dienen als een Covid-19 case-trackingplatform, genaamd 'COVID Kaya', bleek onveilig te zijn. Het platform werd gebruikt door artsen en gezondheidswerkers om actieve Covid-19-gevallen in de Filippijnen bij te houden.
Onderzoekers ontdekten kwetsbaarheden en gaten in de beveiliging in zowel de mobiele applicatie als de webinterface. Door de tekortkomingen konden potentiële slechte actoren toegang krijgen tot de persoonlijke informatie van gezondheidswerkers. Bovendien kunnen ook patiëntgegevens zijn blootgesteld. De ontdekking werd gedaan door onderzoekers van The Citizen Lab - een op beveiliging gerichte afdeling van de Universiteit van Toronto.
Het COVID Kaya-platform werd gelanceerd in de zomer van 2020 en was bedoeld om gezondheidswerkers in de Filippijnen onmiddellijk toegang te geven tot collectieve gegevens over actieve Covid-19-gevallen en deze informatie te coördineren met het ministerie van Volksgezondheid van het land. COVID Kaya had zowel iOS- als Android-versies, evenals een interface voor webtoegang.
De mobiele applicaties waren gebaseerd op code die werd overgedragen met behulp van Cordova - een ontwikkelomgeving die de export van webgerichte applicaties naar mobiele apparaten mogelijk maakt.
De onderzoekers van The Citizen Lab vonden kwetsbaarheden in beide mobiele versies van de applicatie waardoor potentiële kwaadwillenden toegang zouden krijgen tot gegevens waarvoor normaal gesproken superuser-inloggegevens nodig zouden zijn. Twee beveiligingslekken werden door de onderzoekers gemeld in de Android- en webgebaseerde platforms en zijn sindsdien gepatcht door het COVID Kaya-ontwikkelingsteam.
De webbeveiligingsfout maakte ongeautoriseerde toegang tot API-eindpunten mogelijk en dus - onbeperkte toegang tot de namen van duizenden gezondheidswerkers die het Kaya-platform gebruikten. De Android-versie had een probleem met het gebruik van hardgecodeerde API-inloggegevens, waardoor potentiële kwaadwillenden effectief toegang hadden tot persoonlijke gegevens van patiënten.
Gelukkig zijn de door The Citizen Labs gerapporteerde gebreken verholpen en zijn de potentieel misbruikbare inloggegevens uitgeschakeld.
Dit is slechts een ander voorbeeld van een gegevensbeveiligingsprobleem dat verband houdt met de Covid-19-pandemie, na talloze phishing-campagnes, fraude, malware-stammen en mobiele oplichting die op de een of andere manier de mondiale situatie uitbuitten.