Le système d’enregistrement des tests Covid de Walgreens a exposé les données des patients

Si vous avez subi un test Covid-19 chez Walgreens, vos données personnelles – y compris votre nom, date de naissance, identité de genre, numéro de téléphone, adresse et e-mail – ont été laissées sur le Web ouvert pour que quiconque puisse les voir et pour la publicité multiple. trackers sur le site de Walgreens à collecter. Dans certains cas, même les résultats de ces tests pourraient être glanés à partir de ces données.

L’exposition des données affecte potentiellement des millions de personnes qui ont utilisé – ou continuent d’utiliser – les services de test Covid-19 de Walgreens au cours de la pandémie.

Plusieurs experts en sécurité ont déclaré à Recode que les vulnérabilités trouvées sur le site sont des problèmes fondamentaux que le site Web de l’une des plus grandes chaînes de pharmacies des États-Unis aurait dû savoir éviter. Walgreens s’est présenté comme un « partenaire essentiel dans les tests », et la société est remboursée pour ces tests par les compagnies d’assurance et le gouvernement.

Alejandro Ruiz, consultant chez Interstitial Technology PBC, a découvert les problèmes en mars après qu’un membre de la famille a subi un test Covid-19. Il dit avoir contacté Walgreens par e-mail, par téléphone et via le formulaire de sécurité du site Web. L’entreprise n’a pas été réactive, dit-il, ce qui ne l’a pas surpris.

« Toute entreprise qui a commis de telles erreurs de base dans une application qui gère des données de santé est une entreprise qui ne prend pas la sécurité au sérieux », a déclaré Ruiz.

Recode a informé Walgreens des découvertes de Ruiz, qui ont été confirmées par deux autres experts en sécurité. Recode a donné à Walgreens le temps de corriger les vulnérabilités avant de publier, mais Walgreens ne l’a pas fait.

« Nous examinons et intégrons régulièrement des améliorations de sécurité supplémentaires lorsque cela est jugé nécessaire ou approprié », a déclaré la société à Recode.

Les données sensibles des personnes pourraient être exposées à de nombreuses sociétés de publicité et de données à utiliser à leurs propres fins, ou elles pourraient être découragées de passer un test Covid-19 de Walgreens si elles ne sont pas convaincues que leurs données seront sécurisées. Les vulnérabilités de la plate-forme sont également un autre exemple de la façon dont la technologie destinée à aider à arrêter la pandémie a été construite ou mise en œuvre trop rapidement et avec négligence pour prendre pleinement en compte la confidentialité et la sécurité.

Walgreens ne dirait pas non plus depuis combien de temps sa plate-forme d’enregistrement de test présente ces vulnérabilités. Ils remontent au moins à mars, lorsque Ruiz les a découverts, et probablement bien plus longtemps que cela. Walgreens propose des tests Covid-19 depuis avril 2020, et la Wayback Machine, qui conserve des archives d’Internet, affiche des pages de données de confirmation de test vierges dès juillet 2020, indiquant que le problème remonte au moins à cette date.

Les problèmes résident dans le système d’enregistrement de rendez-vous pour le test Covid-19 de Walgreens, que toute personne souhaitant passer un test de Walgreens doit utiliser (sauf s’ils achètent un test en vente libre). Une fois que le patient a rempli et soumis le formulaire, un numéro d’identification unique à 32 chiffres lui est attribué et une page de demande de rendez-vous est créée, qui a l’ID unique dans l’URL.

La page créée après l’inscription d’un patient à un test Covid-19 (l’ID du patient dans l’URL a été flouté).

Toute personne ayant un lien vers cette page peut voir les informations qui s’y trouvent ; il n’est pas nécessaire de s’authentifier qu’il s’agit du patient ou de se connecter à un compte. La page reste active pendant au moins six mois, sinon plus.

« Le processus technique que Walgreens a déployé pour protéger les informations sensibles des personnes était presque inexistant », a déclaré à Recode Zach Edwards, chercheur en confidentialité et fondateur de la société d’analyse Victory Medium.

Les URL de ces pages sont les mêmes, à l’exception d’un identifiant de patient unique contenu dans ce qu’on appelle une « chaîne de requête » — la partie de l’URL qui commence par un point d’interrogation. Comme des millions de tests sur plus de 6 000 sites de test Walgreens ont été effectués à l’aide de ce système d’enregistrement, il existe probablement des millions d’identifiants actifs. Un identifiant actif pourrait être deviné, ou un pirate informatique déterminé pourrait créer un bot qui générait rapidement des URL dans l’espoir d’atteindre toutes les pages actives, ont déclaré des experts en sécurité à Recode, leur donnant une source de données biographiques sur les personnes qu’ils pourraient potentiellement utiliser pour pirater leurs comptes. sur d’autres sites. Mais, étant donné le nombre de caractères contenus dans les identifiants et donc le nombre de combinaisons, ils ont déclaré qu’il serait presque impossible de trouver une seule page active de cette façon, même avec des millions d’entre elles. Bien sûr, presque impossible n’est pas la même chose qu’impossible.

Toute personne ayant accès à l’historique de navigation de quelqu’un peut également voir la page. Cela peut inclure un employeur qui enregistre les activités Internet des employés, par exemple, ou quelqu’un qui accède à l’historique du navigateur sur un ordinateur public ou partagé.

« La sécurité par l’obscurité est un modèle terrible pour les dossiers de santé », a déclaré à Recode Sean O’Brien, fondateur de Yale Privacy Lab.

Ce qui aggrave considérablement cette fuite potentielle, c’est la quantité de données stockées sur le site Web et qui d’autre pourrait y avoir accès. Seuls le nom du patient, le type de test, l’heure et le lieu du rendez-vous sont visibles sur les pages publiques elles-mêmes, mais bien plus que cela se trouve dans les coulisses, accessible via n’importe quel navigateur.

Comme pour les rendez-vous vaccinaux, Walgreens a besoin de beaucoup de données personnelles pour s’inscrire à l’un de ses tests : nom complet, date de naissance, numéro de téléphone, adresse e-mail, adresse postale et identité de genre. Et en quelques clics dans le panneau des outils de développement d’un navigateur, toute personne ayant accès à la page d’un patient spécifique peut trouver ces informations.

La charge utile JSON derrière la page de confirmation de rendez-vous de Walgreens.

Les pages de confirmation de Walgreens contiennent de nombreuses informations personnelles sensibles (floues).

Un « orderId » ainsi que le nom du laboratoire qui a effectué le test sont inclus. C’est toutes les informations dont quelqu’un aurait besoin pour accéder aux résultats des tests via au moins l’un des portails de résultats des tests Covid-19 des partenaires du laboratoire de Walgreens, bien que seuls les résultats des 30 derniers jours soient disponibles lorsqu’un journaliste de Recode a consulté les siens.

Ruiz et les autres experts en sécurité avec lesquels Recode s’est entretenu se sont également alarmés du nombre de trackers que Walgreens a placés sur ses pages de confirmation. Ils ont signalé la possibilité que les entreprises qui possèdent ces trackers – y compris Adobe, Akami, Dotomi, Facebook, Google, InMoment, Monetate, ainsi que l’un de leurs partenaires de partage de données – pourraient ingérer les identifiants des patients, qui pourraient être utilisés pour découvrir les URL des pages de rendez-vous et accéder aux informations qu’elles contiennent.

« Le simple nombre de trackers tiers attachés au système de rendez-vous est un problème, avant de considérer la configuration bâclée », a déclaré O’Brien de Yale.

L’analyse d’Edwards, le chercheur en confidentialité, a révélé que plusieurs de ces entreprises obtenaient des URI, ou Uniform Resource Identifiers, à partir des pages de rendez-vous. Ceux-ci pourraient ensuite être utilisés pour accéder aux données des patients si l’entreprise qui les recevait le souhaitait. Il a déclaré que ce type de fuite est similaire à ce qu’il a découvert sur des sites Web tels que Wish, Quibi et JetBlue en avril 2020 – mais « bien pire », car seules les adresses e-mail ont été divulguées dans ces cas.

« Il s’agit soit d’un flux de données de technologie publicitaire ciblé, ce qui serait vraiment décevant, soit d’une erreur colossale qui expose une grande partie des clients de Walgreens à des violations de la chaîne d’approvisionnement des données », a déclaré Edwards.

Walgreens a déclaré à Recode qu’il s’agissait d’une « priorité absolue » pour protéger les informations personnelles de ses patients, mais qu’il devait également équilibrer la nécessité de sécuriser les informations et de rendre les tests Covid-19 « aussi accessibles que possible pour les personnes à la recherche d’un test ».

« Nous évaluons continuellement nos solutions technologiques afin de fournir des services numériques sûrs, sécurisés et accessibles à nos clients et patients », a déclaré Walgreens.

Encore une fois, Walgreens n’a pas résolu les problèmes avant le délai prolongé que Recode a fourni à l’entreprise, et il n’a pas non plus dit à Recode s’il prévoyait de le faire. Il n’a pas répondu aux questions de Recode sur les trackers publicitaires, sauf pour dire que son utilisation des cookies est expliquée dans sa politique de confidentialité. Cependant, le suivi via les cookies n’était pas le problème que Recode et Ruiz ont identifié à Walgreens, et la société n’a pas commenté davantage lorsque cela lui a été expliqué.

« Ceci est un exemple clair [of this type of vulnerability], mais avec des données Covid et des tonnes d’informations personnellement identifiables », a déclaré Edwards. « Je suis choqué qu’ils réfutent cette violation flagrante. »

Les données du membre de la famille de Ruiz, ainsi que celles de potentiellement des millions d’autres patients, restent en place aujourd’hui.

« C’est juste un autre exemple d’une grande entreprise qui donne la priorité à ses bénéfices sur notre vie privée », a-t-il déclaré.

Nous avons une demande

Des millions de personnes comptent sur le journalisme de Vox pour comprendre la crise des coronavirus. Nous pensons que cela rapporte pour nous tous, en tant que société et démocratie, lorsque nos voisins et concitoyens peuvent accéder à des informations claires et concises sur la pandémie. Mais notre journalisme explicatif distinctif coûte cher. Le soutien de nos lecteurs nous aide à le garder gratuit pour tout le monde. Si vous avez déjà contribué financièrement à Vox, merci. Si ce n’est pas le cas, pensez à faire une contribution dès aujourd’hui à partir de 3 $ seulement.

Share