Wins Security Information

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향8백만 개가 넘는 COVID-19 테스트 결과가 온라인으로 유출되다
작성일 2021-02-26 조회 24

 

 

수백만 개의 COVID-19 테스트 보고서가 온라인 시스템 구현의 결함으로 인해 공개적으로 액세스 할 수있는 것으로 밝혀졌다.

 

8백만 개가 넘는 COVID-19 테스트 결과 유출은 인도 벵골의 보건 복지부에서 시작했다.

 

이번 주 보안 연구원 Sourajeet Majumder는 수백만 개의 COVID-19 테스트 결과를 노출하는 또 다른 정부 웹 사이트를 발견했다.

 

"인도 정부 사이트에 특정 주에서 COVID-19 테스트를 응시한 모든 사람의 테스트 보고서가 유출되는 문제를 발견했습니다. 이 보고서에는 이름, 나이, 샘플 테스트 날짜 및 시간, 거주지 주소 등과 같은 시민에 대한 민감한 정보가 포함되어 있습니다." 라고 연구원이 말했다.

 

그의 최초 발견 당시, 연구원은 정부가 발행한 일간지에 따르면 공개적으로 접근할 수있는 보고서의 수가 800만 개를 넘어 섰다고 의심했다.

 

연구원은 COVID-19 응시자에게 보낸 문자 메시지의 내용 유출을 발견했다.

 

텍스트의 URL 구조는 아래와 같이 base64로 인코딩된 보고서의 ID 번호(SRF ID)로 구성되었다.

 

 

 

[그림1. COVID-19 테스트 결과 링크가 포함된 유출 메시지]

 

 

base64로 인코딩된 보고서 번호는 다른 환자의 COVID-19 테스트 결과에 액세스할 수있는 새로운 URL 집합을 구성하기 위해 더 간단한 숫자 형식으로 디코딩될 수 있다.

 

연구원은 숫자 식별자에 적용된 base64 인코딩이 선택 사항이며 이를 제거해도 보고서 검색 기능에 영향을 미치지 않는다는 사실을 알아냈다. 

 

이러한 방식으로 연구원은 공격자가 URL을 간단히 열거하여 수백만 명의 환자의 COVID-19 테스트 결과를 검색할 수 있음을 입증했다.

 

모든 보고서에는 환자의 이름, 나이, 성별, 일부 집 주소, COVID-19 테스트 결과, 테스트 날짜, 보고서 식별자 및 테스트 실험실 위치와 관련된 세부 정보가 공개되었다.

 

 

 

[그림2. COVID-19 테스트 결과 보고서 샘플]

 

 

이번에 COVID-19 보고서를 유출한 URL은 현재 404 (찾을 수 없음) 메시지를 반환한다.

 

북 벵골의 COVID-19 상황을 감독하는 정부 임명 보건 관리인 Sushant Roy 박사도 누출 사실을 인정했다.

 

로이 박사는 지역 뉴스 매체를 통한 성명에서 COVID-19 테스트 결과 데이터와 같은 정보는 특히 COVID-19 환자의 개인 정보를 보호하기 위해 기밀로 유지되어야한다고 말했고 그는 정부가 그러한 정보를 환자의 가족에게만 제공한다고 말했다.

 

Roy 박사는 다른 사람의 테스트 보고서에 액세스할 수있는 시스템 결함에 놀라움을 표했으며 문제를 바로 잡기 위해 즉각적인 조치를 취할 것이라고 말했다.

 

COVID-19 테스트 결과가 온라인에서 대규모로 유출된 것은 이번이 처음이 아니다.

 

이전에는 위협 행위자가 테스트 결과 URL을 열거할 수 있는 결함이있는 QR코드 구현으로 인해 여러 독립 실험실에서 환자 테스트 결과가 유출되었다.

 

공개적으로 액세스할 수있는 URL을 생성할 때 열거를 어렵게 만들기 위해 추측할 수 없거나 무작위화 된 데이터 비트를 포함하는 것이 좋다.

 

 

 

 

출처
https://www.bleepingcomputer.com/news/security/over-8-million-covid-19-test-results-leaked-online/
첨부파일 첨부파일이 없습니다.
태그 base64