İrlanda hükümeti iki yıl önce ulusal Kovid-19 aşı portalında yaklaşık bir milyon kişinin aşı kayıtlarının açığa çıktığı bir güvenlik açığını gidermişti. Ancak güvenlik açığının ayrıntıları, devlet kurumuyla kamuyu aydınlatmayı koordine etme girişimlerinin durup sona ermesinin ardından bu haftaya kadar açıklanmadı.
Güvenlik araştırmacısı Aaron Costello, Aralık 2021’de, İrlanda’da Kovid-19’a karşı toplu aşılamaların başlamasından bir yıl sonra, İrlanda Sağlık Hizmeti Yöneticisi (HSE) tarafından yürütülen Kovid-19 aşı portalındaki güvenlik açığını keşfettiğini söyledi.
Costello, sahip olduğu Salesforce sistemlerinin güvenliğini sağlamada derin uzmanlıkşu anda bulut sistemlerinin güvenliğine ticari ilgi duyan bir güvenlik girişimi olan AppOmni’de baş güvenlik mühendisi olarak çalışıyor.
Costello, yayınlanmadan önce TechCrunch ile paylaştığı bir blog yazısında, Salesforce’un sağlık bulutu üzerine inşa edilen aşı portalındaki güvenlik açığının, HSE aşı portalına kaydolan herhangi bir kamu üyesinin başka bir kayıtlı kullanıcının sağlık bilgilerine erişebileceği anlamına geldiğini söyledi. .
Costello, diğer veri türlerinin yanı sıra, tam adlar, aşı ayrıntıları (aşı uygulama veya almayı reddetme nedenleri dahil) ve aşı türü de dahil olmak üzere, bir milyondan fazla İrlandalının aşı uygulama kayıtlarına herkes tarafından erişilebildiğini söyledi. Ayrıca dahili HSE belgelerine portal aracılığıyla tüm kullanıcıların erişebildiğini de tespit etti.
Costello, “Neyse ki herkesin aşı yönetimi ayrıntılarını görebilme yeteneği, portalı amaçlandığı gibi kullanan düzenli kullanıcılar için hemen anlaşılamadı” diye yazdı.
İyi haber şu ki, Costello’dan başka kimse hatayı keşfetmedi ve TechCrunch’a yapılan açıklamaya göre HSE, “bu verilere yetkisiz erişim veya bu verilerin görüntülenmediğini” gösteren ayrıntılı erişim günlükleri tuttu.
HSE sözcüsü Elizabeth Fraser, TechCrunch’a güvenlik açığı sorulduğunda yaptığı açıklamada, “Yanlış yapılandırmayı uyarıldığımız gün düzelttik” dedi.
HSE sözcüsü, “Bu kişinin eriştiği veriler, ek veri alanları açığa çıkmadan herhangi bir kişinin kimliğini tespit etmek için yetersizdi ve bu koşullar altında Veri Koruma Komisyonu’na Kişisel Veri İhlali raporu verilmesinin gerekli olmadığı belirlendi” dedi.
İrlanda, AB genelinde veri koruma ve gizlilik haklarını düzenleyen Avrupa Birliği’nin GDPR düzenlemesi kapsamında katı veri koruma yasalarına tabidir.
Costello’nun kamuya açıklanması, güvenlik açığının ilk kez bildirilmesinden bu yana iki yıldan fazla bir süreye işaret ediyor. Blog yazısında, kamuya açıklanma talebinde bulunmak istemeyen çeşitli devlet daireleri arasındaki gidiş gelişleri ortaya koyan çok yıllı bir zaman çizelgesi yer alıyordu. Nihayetinde kendisine hükümetin hatayı sanki hiç var olmamış gibi kamuya açıklayamayacağı söylendi.
Kuruluşların, GDPR kapsamında dahi toplu hırsızlığa veya hassas verilere erişime yol açmayan ve gerçek bir veri ihlalinin yasal gerekliliklerinin dışında kalan güvenlik açıklarını açıklama zorunluluğu yoktur. Bununla birlikte, güvenlik çoğu zaman başkalarının, özellikle de güvenlik olaylarını kendileri yaşamış olanların bilgilerine dayalı olarak oluşturulur. Bu bilginin paylaşılması, aksi halde habersiz kalabilecek diğer kuruluşlardaki benzer risklerin önlenmesine ve güvenlik araştırmacılarının neden geçmişteki hataların tekrarlanmasını önlemek için kamuya açıklanmaya yönelme eğiliminde olduklarına yardımcı olabilir.
