Stan Nowy Jork usuwa lukę w aplikacji paszportowej COVID-19. Umożliwiała oszustwo dot. szczepień

Błąd odkryty przez badaczy z NCC Group pozwalał „stworzyć i przechowywać fałszywe poświadczenie przyjęcia szczepionki na COVID-19 w NYS Excelsior Pass Wallet, które może umożliwić uzyskanie dostępu do wielu miejsc publicznych."

Spóźniona reakcja

Badacze odkryli, że aplikacja nie weryfikowała dodanych do niej poświadczeń szczepionkowych, co pozwalało na przechowywanie przez użytkowników sfałszowanych danych. 

Według informacji medialnych stan Nowy Jork został powiadomiony o problemie 30 kwietnia br., ale przez wiele miesięcy ignorował wiadomości od NCC Group. Dopiero gdy naukowcy skontaktowali się w lipcu z centrum dowodzenia NYS ITS Cyber, otrzymali odpowiedź. Łata rozwiązująca problem została wydana 20 sierpnia.

Siddarth Adukia, dyrektor techniczny w NCC Group powiedział ZDNet, że szerokie rozpowszechnienie paszportów szczepionkowych i ich nieodłączne implikacje związane z bezpieczeństwem oraz prywatnością czynią je naturalnym obszarem zainteresowania badań nad cyberbezpieczeństwem.

„W NCC Group ostatnio przyglądaliśmy się wielu takim aplikacjom. Chcieliśmy zbadać, w jakim stopniu użytkownik (lub miejsce) powinien ufać tym systemom i w jaki sposób może to wpłynąć na prywatność osoby korzystającej z takich systemów - powiedział Adukia. - Zaczęliśmy od aplikacji NYS Excelsior Pass, ponieważ była to jedna z pierwszych platform wprowadzonych na rynek w USA, a nasi konsultanci mieszkający w stanie Nowy Jork, w tym ja, byli osobiście zainteresowani zapewnieniem bezpieczeństwa i prywatności systemu. Problem znaleźliśmy po modelowaniu zagrożeń i możliwych wektorów ataków i nadużyć przeciwko aplikacji i systemowi w ogóle."

Wnikliwa analiza

Adukia zaznacza, że jego zespół przeprowadził badanie i przechwycił ruch sieciowy, co pozwoliło zbadać aplikację pod kątem możliwych problemów, takich jak wyciek informacji, słaba kryptografia i inne typowe problemy związane z bezpieczeństwem.

Szef NCC Group wyjaśnił, że aplikacja pozwala użytkownikom na zeskanowanie kodu QR w celu dodania poświadczenia do portfela lub dodania go poprzez galerię zdjęć urządzenia.

Według obietnic, obecna wersja narzędzia dostępna w sklepach w sieci nie jest już podatna na wspomniany problem.

Jak wynika z sierpniowego raportu firmy Check Point Research, różne systemy autoryzacji szczepionek COVID-19 są sprzedawane w Dark Web po coraz niższych cenach. Naukowcy odkryli, że ceny certyfikatów EU Digital COVID, jak również kart szczepionek CDC i NHS COVID spadły nawet do 100 dolarów. W sumie reklamy fałszywych weryfikacji szczepionek znajdowały się w grupach zrzeszających ponad 450 tys. osób.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.