Podział danych w ośrodku badawczym Corona

Poddanie się testowi na zakażenie wirusem Covid 19 staje się niemal powszechne dla coraz większej liczby osób. W wielu miejscach powstały centra testowe, w których można to zrobić szybko i zazwyczaj nawet bezpłatnie.

W większości przypadków odwiedzający otrzymują na koniec kod dostępu, którego mogą użyć do wyświetlenia wyniku testu online lub wydrukowania potwierdzenia po określonym czasie. W wielu miejscach są one wymagane na przykład przed wejściem do niektórych sklepów. Oznacza to, że nie ma prawie żadnego sposobu na obejście udania się do centrum testowego i przystąpienia tam do testu. dane osobowe do wskazania.

Obecność online niektórych ośrodków testowych wielokrotnie ulegała awariom informatycznym, a dane testowanych osób były dostępne dla wszystkich. Były to nie tylko dane osobowe takie jak imię i nazwisko, data urodzenia, adres i numer telefonu, ale także odpowiednie wyniki testów, które jako dane dotyczące zdrowia podlegają szczególnej ochronie zgodnie z art. 9 I RODO.

Aktualne przykłady

Nie tylko w marcu 2021 r. badacze bezpieczeństwa odkryli, że centra testowe koronawirusa w Niemczech i Austrii były nieodpowiednio chronione (ujawniono imię i nazwisko, adres, datę urodzenia, obywatelstwo, wynik testu na koronawirusa, a w niektórych przypadkach dane dowodu osobistego ponad 80 000 osób). Osoby ale jeszcze niedawno możliwe było przeglądanie odpowiednich danych od ponad 14 000 przebadanych osób z ośrodków w Hamburgu, Berlinie, Lipsku i Schwerte.

Problem jest więc wciąż aktualny.

Przyczyny naruszeń danych

Ale gdzie dokładnie były błędy, które sprawiają, że takie miszmasze danych są możliwe w pierwszej kolejności?

Ponad 100 ośrodków testowych miało niezabezpieczone interfejsy do stron internetowych i aplikacji internetowych, za pośrednictwem których klienci mogli zarejestrować się na test i uzyskać wyniki. Interfejsy tych ośrodków testowych były nie tylko nieodpowiednio zabezpieczone, ale nawet nieprofesjonalni użytkownicy komputerów byli w stanie wyświetlić swoje wyniki i inne informacje, zmieniając ostatnią cyfrę przypisanego im numeru identyfikacyjnego klienta. dane osobowe innych klientów. Aby temu zapobiec, w programowaniu można stosować tak zwane identyfikatory UUID i złożone wartości skrótu (wyniki).

Ponadto mówi się, że częściowo możliwe było sprawdzenie online poprzez każde konto klienta, w którym centrum testowym kto i kiedy był testowany oraz jaki był wynik.

Konsekwencje

Na poszczególnych operatorów zostały nałożone kary pieniężne, co również przewiduje GDPR. Szybko jednak pojawiły się głosy, że władzom brakuje odpowiedniej surowości w podejmowaniu działań przeciwko takim naruszeniom danych.

Dotknięci operatorzy, którzy byli zobowiązani do zgłaszania tych naruszeń danych, zeznali, że luki zostały już naprawione.

Można jednak przewidzieć, że w przyszłości ujawnią się kolejne braki w zakresie cyfryzacji w odniesieniu do ilości danych gromadzonych w związku z Coroną.