ABD’nin Kaliforniya eyaletinde faaliyet gösteren COVID-19 test merkezi Total Testing Solutions (TTS), güvenlik açığı nedeniyle veritabanında kayıtlı sonuçları tehlikeye attı. Her hafta düzenli olarak iş yerlerinde, spor salonlarında ve okullarda binlerce virüs testi gerçekleştiren kuruluş, müşterilerinden biri tarafından fark edilinceye kadar hatadan haberdar bile değildi.
Los Angeles’ta bulunan Total Testing Solutions, COVID-19 testi yaptıran müşterilere kolaylık sağlamak amacıyla sonuçları e-posta üzerinden gönderiyor. Kısa bir web sitesi bağlantısı aracılığıyla kullanıcı TTS’de kendi bilgileriyle oturum açıyor, akabinde virüse yakalanıp yakalanmadığını öğrenebiliyor. Tespit edilen açık, müşterilerin test sonuçlarını yetkisiz erişime açarak tüm bilgileri tehlikeye sokuyordu.
COVID-19 test linkindeki bir rakamı değiştirmek yetti
Müşterilerden biri TechCrunch’a yaptığı açıklamada, Total Testing Solutions’un gönderdiği bağlantının içindeki bir sayıyı tek basamak artırarak veya azaltarak diğer kullanıcıların bilgilerine erişebildiğini ifade etti. Açığa çıkan veriler arasında, bilindiği kadarıyla müşterilerin adlarıyla beraber test yaptırdıkları tarih bulunuyor. Sonuç ise doğrudan çıkmıyor, ancak TTS’nin sitesinin algoritması gereği bunu görmek için vatandaşın doğum tarihi yeterli oluyor.
Hatayı bulan müşterinin iddiasına göre, kötü niyetli bir kişinin hedefine yerleştirdiği kurbanının doğum tarihini tahmin etmesi uzun sürmeyecek. Matematiksel olarak, 30 yaşındakiler için sadece 11.000 kadar deneme yanılma yoluyla tahminde bulunmak yeterli olacak. Birinci denemede de hedefi tutturmak mümkün, ikincisinde de… Güvenlik açığı giderilmediği müddetçe risk her daim devam ediyor.
Hata, oturum açma ekranını pas geçebiliyor
Total Testing Solutions’un web sitesi, COVID-19 test sonucunu öğrenmeye çalışan müşterileri oturum açma ekranına yönlendirerek e-posta adresi ve şifre soruyor, ancak güvenlik açığı bu sistemi bypass edebiliyor. Yani kötü niyetli bir kişi, hedefindeki kurbanın giriş bilgilerini bilmiyor olsa dahi onun kişisel verilerine rahatlıkla erişim sağlayabiliyor. Şimdiye kadar bu yöntemle toplamda 60 bin testin alenen açıkta olduğu gözlemlendi.
Konuyla alakalı olarak Total Testing Solutions görevlisi Geoffrey Trenkle şu açıklamayı yaptı:
Kısa bir süre önce eski şirket içi sunucumuzda, URL manipülasyonu ve doğum tarihi programlama kodlarının bir kombinasyonunu kullanarak belirli hasta adlarına ve sonuçlara erişime izin verebilecek potansiyel bir güvenlik açığından haberdar olduk. Açıklık, bulut tabanlı sunucunun oluşturulmasından önce halka açık test sitelerinde elde edilen hasta bilgileriyle sınırlıydı. Bu potansiyel tehdide yanıt olarak, şirket içi yazılımımızı derhal kapattık ve gelecekteki veri ihlali riskini önlemek için bu verileri güvenli bulut tabanlı sisteme taşımaya başladık.
Total Testing Solutions CEO’su Lauren Trenkle iste güvenlik açığıyla ilgili olarak herhangi bir yorum yapmadı.