Podział danych w ośrodku badawczym Corona

Poddanie się testowi na zakażenie wirusem Covid 19 staje się niemal powszechne dla coraz większej liczby osób. W wielu miejscach powstały centra testowe, w których można to zrobić szybko i zazwyczaj nawet bezpłatnie.

Zazwyczaj odwiedzający otrzymują na koniec kod dostępu, który mogą wykorzystać do obejrzenia swojego wyniku testu online lub wydrukowania potwierdzenia po określonym czasie. W wielu miejscach są one wymagane np. przed wejściem do niektórych sklepów. Nie ma więc praktycznie żadnego sposobu, aby ominąć udanie się do centrum testowego i podanie tam swoich danych osobowych.

W związku z obecnością online niektórych ośrodków badawczych dochodziło obecnie do powtarzających się awarii informatycznych, w których dane osób badanych były dostępne dla wszystkich. Dotyczyło to nie tylko danych osobowych, takich jak nazwisko, data urodzenia, adres i numer telefonu, ale także odpowiednich wyników testów, które jako dane dotyczące zdrowia podlegają szczególnej ochronie na podstawie art. 9 I DSGVO.

Aktualne przykłady

Nie tylko w marcu 2021 r. badacze bezpieczeństwa odkryli, że ośrodki testowe Corona w Niemczech i Austrii były nieodpowiednio chronione (tutaj otwarcie dostępne były imię i nazwisko, adres, data urodzenia, obywatelstwo, wynik testu Corona, a w niektórych przypadkach dane z dowodów osobistych ponad 80 tys. osób), ale jeszcze niedawno udało się przejrzeć odpowiednie dane ponad 14 tys. osób testowanych z ośrodków w Hamburgu, Berlinie, Lipsku i Schwerte.

Problem jest więc wciąż aktualny.

Przyczyny naruszeń danych

Ale gdzie dokładnie były błędy, które sprawiają, że takie miszmasze danych są możliwe w pierwszej kolejności?

W ponad 100 ośrodkach testowych interfejsy stron internetowych i aplikacji internetowych, za pośrednictwem których klienci mogą zarejestrować się na test i pobrać jego wynik, były dostępne bez zabezpieczeń. Nie tylko te interfejsy dotkniętych centrów testowych były niewystarczająco zabezpieczone, ale nawet laicy użytkownicy komputerów byli w stanie zobaczyć wynik i inne dane osobowe innych klientów, zmieniając ostatnią cyfrę przypisanego im numeru ID klienta, aby zobaczyć swój wynik. Aby temu zapobiec, w programowaniu można stosować tzw. identyfikatory UUID i złożone wartości hashowe (wyniki).

Ponadto mówi się, że częściowo możliwe było sprawdzenie online poprzez każde konto klienta, w którym centrum testowym kto i kiedy był testowany oraz jaki był wynik.

Konsekwencje

Na poszczególnych operatorów zostały nałożone kary pieniężne, co również przewiduje GDPR. Szybko jednak pojawiły się głosy, że władzom brakuje odpowiedniej surowości w podejmowaniu działań przeciwko takim naruszeniom danych.

Dotknięci operatorzy, którzy byli zobowiązani do zgłaszania tych naruszeń danych, zeznali, że luki zostały już naprawione.

Można jednak przewidzieć, że w przyszłości ujawnią się kolejne braki w zakresie cyfryzacji w odniesieniu do ilości danych gromadzonych w związku z Coroną.