パスワードを忘れた? アカウント作成
14987621 story
情報漏洩

フィリピン保健庁運営の医療従業者向けコロナアプリ、APIのURL直打ちで個人情報が見れる状態に 6

ストーリー by nagazou
実際の被害は不明 部門より
CitizenLabによると、フィリピンのCOVID-19の症例データ共有アプリが情報を漏えいしたと報じられている(CitizenLabThreatpost)。

このシステムは「OVID-KAYA」プラットフォームと呼ばれており、フィリピンの最前線の医療従事者がCOVID-19感染者の症例を収集し、フィリピン保健省と共有するために使用するためのもの。ウェブアプリとAndroidアプリの両方に脆弱性が存在しており、許可されていないユーザーが感染者や潜在的な感染者の情報を閲覧できていたという。

ウェブアプリ側では認証ロジックに脆弱性が含まれていた。これにより、ヘルスセンターの名前と場所、およびアプリのサインアップ時に利用される30,000を超えるヘルスケアプロバイダーの名前が公開された可能性があるとされる。Androidアプリでは、医療提供者の名前や機密性の高い患者データにもアクセスできるハードコードされたAPI認証情報が使用されていたとのこと。

CitizenLabは8月18日にDure Technologies、フィリピン保健省、フィリピン世界保健機関(WHO)の関係者などのアプリ開発者にウェブアプリの脆弱性を開示、続いて9月14日にAndroidアプリの脆弱性を公開した。判明した欠陥は10月29日の時点で解消されているそうだ。
typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...