Dos años atrás, el gobierno irlandés solventó una vulnerabilidad en su portal nacional de vacunación COVID-19 que puso al descubierto los registros de vacunación de aproximadamente un millón de residentes. Sin embargo, la información detallada sobre la vulnerabilidad no se reveló hasta esta semana, después de que los intentos de coordinar la divulgación pública con la agencia gubernamental se atascaran y fracasaran.
El experto en seguridad Aaron Costello reveló que descubrió la vulnerabilidad en el portal de vacunación COVID-19 administrado por el Ejecutivo del Servicio de Salud Irlandés (HSE) en diciembre de 2021, un año después de que comenzara la campaña de vacunación masiva contra el COVID-19 en Irlanda.
Costello, quien tiene una amplia experiencia en protección de sistemas Salesforce, ahora desempeña el cargo de ingeniero de seguridad principal en AppOmni, una startup de seguridad con enfoque comercial en la protección de sistemas en la nube.
En un artículo de blog compartido con TechCrunch antes de ser publicado, Costello explicó que la vulnerabilidad en el portal de vacunación, construido en la plataforma en la nube de salud de Salesforce, permitía que cualquier miembro del público registrado en el portal de vacunación de HSE accediera a la información de salud de otro usuario registrado.
Costello afirmó que cualquier persona tenía acceso a los registros de vacunación de más de un millón de residentes irlandeses, incluyendo nombres completos, detalles de la vacunación (como razones para recibir o rechazar vacunas) y tipo de vacuna, entre otros datos. También descubrió que cualquier usuario podía acceder a documentos internos de HSE a través del portal.
"Afortunadamente, la capacidad de visualizar los detalles de la administración de las vacunas de todos no era inmediatamente evidente para los usuarios habituales que utilizaban el portal como se pretendía", mencionó Costello en su publicación.
La buena noticia es que Costello fue la única persona que descubrió el error, y el HSE mantuvo registros detallados de acceso que demostraban que "no hubo acceso no autorizado ni visualización de estos datos", según un comunicado proporcionado a TechCrunch.
"Corregimos la mala configuración el día que fuimos alertados", afirmó Elizabeth Fraser, portavoz de HSE, en un comunicado a TechCrunch cuando se le consultó sobre la vulnerabilidad.
"La información a la que accedió esta persona no era suficiente para identificar a ningún individuo sin exponer campos de datos adicionales y, en estas circunstancias, se determinó que no era necesario presentar un informe de Violación de Datos Personales a la Comisión de Protección de Datos", informó el portavoz de HSE.
Irlanda se rige por estrictas leyes de protección de datos en conformidad con el reglamento GDPR de la Unión Europea, que establece normas para la protección de datos y la privacidad en toda la UE.
La divulgación pública realizada por Costello se produjo más de dos años después de que informara por primera vez sobre la vulnerabilidad. En su artículo de blog, presentó una línea de tiempo de varios años que detallaba la ida y venida entre varios departamentos gubernamentales que no estaban dispuestos a autorizar la divulgación pública. Finalmente, se le comunicó que el gobierno no haría pública la existencia del error como si nunca hubiera ocurrido.
Según el RGPD, las organizaciones no están obligadas a revelar vulnerabilidades que no hayan resultado en un robo masivo o acceso a datos confidenciales, y que no cumplan con los requisitos legales de una violación real de datos. No obstante, la seguridad suele basarse en el conocimiento mutuo, sobre todo de aquellos que hayan experimentado incidentes de seguridad. Compartir ese conocimiento podría ayudar a prevenir exposiciones similares en otras organizaciones que, de lo contrario, podrían pasar desapercibidas. Esto explica por qué los investigadores de seguridad tienden a favorecer la divulgación pública para evitar la repetición de errores del pasado.