[[418180]]

一家位于加州的醫(yī)療創(chuàng)業(yè)公司在整個洛杉磯提供COVID-19測試，在一位客戶發(fā)現(xiàn)允許訪問其他人的個人信息的漏洞后，該公司已經(jīng)關閉了一個用于允許客戶訪問其測試結果的網(wǎng)站。Total Testing Solutions在整個洛杉磯有10個COVID-19測試點，每周在工作場所、體育場館和學校處理"數(shù)千次"COVID-19測試。

當測試結果準備好后，客戶會收到一封電子郵件，其中有一個網(wǎng)站鏈接，以獲得他們的結果。

但一位客戶說，他們發(fā)現(xiàn)了一個網(wǎng)站漏洞，允許他們通過增加或減少網(wǎng)站地址中的一個數(shù)字來訪問其他客戶的信息。這使得該客戶可以看到其他客戶的名字和他們的測試日期。該網(wǎng)站也只需要一個人的出生日期就可以訪問他們的COVID-19測試結果，發(fā)現(xiàn)該漏洞的客戶說"不需要很長時間"就可以暴力破解，或者簡單地猜測。(對于30歲以下的人來說，這只是11000次生日猜測而已)

雖然測試結果網(wǎng)站有一個登錄頁面，提示客戶提供他們的電子郵件地址和密碼，但允許客戶更改網(wǎng)址和訪問其他客戶信息的網(wǎng)站漏洞部分可以直接從網(wǎng)上訪問，完全繞過了登錄提示。

通過有限的測試發(fā)現(xiàn)，該漏洞可能使大約6萬個測試處于危險之中。TTS首席醫(yī)療官Geoffrey Trenkle確認了這一漏洞，他對窮舉破解的漏洞沒有異議，但表示該漏洞僅限于一臺用于提供傳統(tǒng)測試結果的內(nèi)部服務器，該服務器后來被關閉并被一個新的基于云的系統(tǒng)取代。公司在一份聲明中說："我們最近意識到我們以前的內(nèi)部服務器存在一個潛在的安全漏洞，它可能允許利用URL操作和出生日期編程代碼的組合來訪問某些病人的名字和結果。"該漏洞僅限于在創(chuàng)建基于云的服務器之前在公共測試場所獲得的病人信息。為了應對這一潛在的威脅，我們立即關閉了企業(yè)內(nèi)部的軟件，并開始將這些數(shù)據(jù)遷移到安全的云端系統(tǒng)，以防止未來數(shù)據(jù)泄露的風險。我們還啟動了漏洞評估，包括審查服務器訪問日志，以檢測任何未被識別的網(wǎng)絡活動或不尋常的認證失敗。目前，TTS沒有發(fā)現(xiàn)由于其先前服務器的問題而導致的任何不安全的受保護健康信息的泄露。據(jù)我們所知，實際上沒有病人的健康信息被泄露，而且所有的風險都已經(jīng)被減輕了。"

Total Testing Solution表示將遵守國家法律規(guī)定的法律義務，但沒有明確表示該公司是否計劃通知客戶這一漏洞。雖然公司沒有義務向本州的總檢察長或客戶報告漏洞，但許多公司出于謹慎而報告，因為并不總是能夠確定是否有不當訪問。