Desglose de datos en el centro de pruebas de Corona

Hacerse la prueba de detección de la infección por el virus Covid 19 se está convirtiendo en algo casi habitual para cada vez más personas. En muchos lugares se han creado centros de pruebas donde se puede hacer rápidamente y, por lo general, incluso de forma gratuita.

En la mayoría de los casos, los visitantes reciben al final un código de acceso, que pueden utilizar para ver el resultado de su prueba en línea o imprimir una confirmación al cabo de cierto tiempo. En muchos lugares, se piden antes de entrar en determinadas tiendas, por ejemplo. Esto significa que apenas hay forma de evitar acudir a un centro de exámenes y realizar allí la prueba. datos personales que se indique.

La presencia en línea de algunos centros de examen ha sufrido repetidas averías informáticas, y los datos de los examinados han estado a disposición de todo el mundo. Estas averías no sólo datos personales como el nombre, la fecha de nacimiento, la dirección y el número de teléfono, sino también los respectivos resultados de las pruebas, que como datos de salud están bajo la protección especial del Art. 9 I GDPR.

Ejemplos actuales

No fue hasta marzo de 2021 cuando los investigadores de seguridad descubrieron que los centros de pruebas de coronavirus de Alemania y Austria no estaban debidamente protegidos (quedaron expuestos el nombre, la dirección, la fecha de nacimiento, la nacionalidad, el resultado de las pruebas de coronavirus y, en algunos casos, los datos del DNI de más de 80.000 personas). Personas de libre acceso), pero incluso hace poco todavía era posible consultar los datos correspondientes a más de 14.000 personas sometidas a pruebas de los centros de Hamburgo, Berlín, Leipzig y Schwerte.

Así que el problema sigue vigente.

Motivos de las violaciones de datos

Pero, ¿dónde estaban exactamente los errores que hacen posibles tales percances de datos en primer lugar?

Más de 100 centros de pruebas tenían interfaces no protegidas con los sitios y aplicaciones web a través de los cuales los clientes pueden inscribirse en una prueba y recuperar sus resultados. Estas interfaces de los centros de pruebas afectados no solo estaban insuficientemente protegidas, sino que incluso usuarios informáticos no profesionales podían ver sus resultados y otra información cambiando el último dígito del número de identificación de cliente que se les había asignado. datos personales de otros clientes. Para evitarlo, en la programación se pueden utilizar los llamados UUID y valores hash complejos (resultados).

Además, se dice que en parte era posible ver en línea, a través de cada cuenta de cliente, en qué centro de pruebas se estaba examinando a quién y cuándo, y cuál era el resultado.

Consecuencias

Se impusieron multas a los operadores individuales, como también prevé el GDPR. Sin embargo, no tardaron en alzarse voces que afirmaban que las autoridades carecían de la severidad necesaria a la hora de tomar medidas contra estas violaciones de datos.

Los operadores afectados, que tenían la obligación de notificar estas violaciones de datos, declararon que las vulnerabilidades se han corregido desde entonces.

Pero es previsible que en el futuro se revelen más deficiencias de digitalización en relación con las cantidades de datos recogidos en relación con Corona.