一家坐落于美国加州的的诊疗初创公司在全部洛杉矶给予COVID-19测试,在一位客户发觉容许访问别人的个人资料的缺陷后,该公司早已关上了一个用以容许客户访问其测试結果的网址。Total Testing Solutions在全部洛杉矶有10个COVID-19测试点,每星期在工作场所、运动场馆和院校解决"千余次"COVID-19测试。
当测试結果准备好后,客户会接到一封电子邮件,在其中有一个网页链接,以得到她们的結果。
但一位客户说,她们看到了一个网站系统漏洞,容许她们根据提升或降低网址中的一个数据来访问别的客户的信息内容。这导致该客户能够看见别的客户的姓名和她们的测试日期。该网址也只必须一个人的出世日期就可以访问她们的COVID-19测试結果,发觉该系统漏洞的客户说"不用很长期"就可以暴力破解密码,或是简洁地猜想。(针对30岁下列的人而言,这仅仅11000次生日猜想罢了)
尽管测试結果网址有一个登陆页面,提醒客户给予这些人的电子邮箱地址和登陆密码,但容许客户变更网站地址和访问别的客户信息内容的网址系统漏洞一部分可以同时从在网上访问,彻底绕开了登陆提醒。
根据有局限的测试发觉,该系统漏洞很有可能使大概6万只测试处在风险当中。TTS总裁诊疗官Geoffrey Trenkle确定了这一系统漏洞,他对穷举破译的系统漏洞沒有质疑,但表明该系统漏洞仅限一台用以给予传统式测试結果的内部结构网络服务器,该服务器之后被关掉并被一个新的根据云的系统软件替代。企业在一份申明上说:"大家近期意识到大家之前的内部结构网络服务器存有一个不确定性的网络安全问题,它很有可能容许运用URL实际操作和出世日期代码编程的组成来访问一些患者的姓名和結果。"该系统漏洞仅限在建立根据云的网络服务器以前在公共性测试场地得到的患者信息内容。为了更好地解决这一潜在性的危害,大家马上关掉了企业内部的手机软件,并逐渐将这种数据备份转移到可靠的云空间系统软件,以避免将来数据泄漏的风险性。大家还运行了系统漏洞评定,包含核查网络服务器访问日志,以检验一切未被鉴别的互联网主题活动或不寻常的验证不成功。现阶段,TTS沒有发觉因为其此前网络服务器的问题而致使的一切不安全的受维护健康服务的泄漏。据大家孰知,事实上沒有患者的健康服务被泄漏,并且全部的隐患都早已被缓解了。"
Total Testing Solution表示将遵循国家法律法规的法律义务,但沒有确立指出该企业是不是方案通告客户这一系统漏洞。尽管公司沒有责任向本州的总检察长或客户汇报系统漏洞,但很多企业出自于慎重而汇报,由于并不一直可以明确是不是有不合理访问。