Detecten un forat de seguretat a la pàgina de vacunació que permetia accedir a dades de tercers
Salut va solucionar el problema fa uns dies i assegura que no s'ha produït cap fuga d'informació
BarcelonaLa pàgina de vacunació que s'utilitza a Catalunya per demanar citació o modificar l'hora de la vaccina permetia accedir a les dades de tercers. El departament de Salut va solucionar el problema fa poc més d'una setmana, assegurant que durant els mesos que hi va haver aquesta bretxa de seguretat no es va produir cap fuga d'informació. "No hi ha hagut cap incidència en la pàgina de VacunaCovid que hagi comportat que terceres persones hagin accedit a informacions d’altres ciutadans", defensa el departament a preguntes de l'ARA.
Des del departament asseguren que donada la "visibilitat i transcendència de la web" es fa un seguiment "proactiu" de la mateixa, fent controls de manera regular per detectar qualsevol incidència. Durant aquest monitoratge es va detectar "sol·licituds d’accés per part de tercers fora del flux definit" que es van analitzar per minimitzar qualsevol "vulnerabilitat tecnològica o operativa que pogués afectar al seu funcionament". Es va descobrir un incident i conjuntament amb l'Agència de Ciberseguretat de Catalunya es van aplicar les millores necessàries per millorar l'aplicació i reforçar la seguretat. En una anàlisi posterior més detallada del que havia passat, els tècnics van detectar l'existència "d'una vulnerabilitat a un dels components de la solució que comportava d'un risc d'exposició de dades identificatives de les persones i de les cites de vacunació".
Inicialment, el Departament havia admès que la problemàtica s'havia detectat per l'avís d'un usuari. "Davant de la reflexió expressada per un ciutadà, es va analitzar i decidir limitar al màxim la informació que es presenta en la consulta d’un cita futura. Així s’ha eliminat qualsevol dada personal i s’han deixant només les referents a la cita", va respondre el departament per explicar com es va solucionar aquest forat de seguretat, tot i que posteriorment van atribuir al monitoratge de la web la detecció de la problemàtica.
L'usuari va traslladar a les autoritats que la pàgina permetia "accedir de forma molt fàcil per part de tercers no autoritzats a dades de vacunació, targeta sanitària, mòbil, correu, nom complet, cita per la vacunació..." d'altres ciutadans. No era una operació senzilla, requeria de certs coneixements informàtics, però accedint a la consola del navegador dins la pàgina de vacunació es podia modificar el DNI i d'aquesta manera accedir a dades personals de tercers, sense necessitat de cap codi d'identificació o validació a través de missatge SMS. Al cap d'uns dies que la queixa arribés al departament, aquesta possibilitat ja estava deshabilitada i d'aquesta manera es va solucionar la problemàtica que podria haver permès un bolcat massiu de dades generant una seqüència de DNIs de manera automatitzada.
El cas de Madrid
Fa una setmana, Telemadrid va informar que la pàgina web habilitada per la Comunitat de Madrid per obtenir el certificat digital covid o demanar hora per vacunar-se havia exposat públicament dades personals de milers de ciutadans, entre els quals Felip VI o Pedro Sánchez. Segons la informació de la cadena autonòmica, només calia introduir el DNI de la persona per poder accedir a informació personal com el número de telèfon o de la Seguretat Social. La Comunitat de Madrid va desmentir que "qualsevol ciutadà" pogués accedir a "informació confidencial com les dades clíniques del rei", però van reconèixer una "vulnerabilitat de seguretat en la funcionalitat del portal".
