Sistema de registro de Walgreens expone datos de pacientes de Covid-19

Si se hizo una prueba de Covid-19 en Walgreens, sus datos personales, incluido su nombre, fecha de nacimiento, identidad de género, número de teléfono, dirección y correo electrónico, se dejaron en la web abierta para que cualquiera pudiera verlos y para el anuncio múltiple. rastreadores en el sitio de Walgreens para recopilar. En algunos casos, incluso los resultados de estas pruebas podrían extraerse de esos datos.

La exposición de los datos afecta potencialmente a millones de personas que usaron, o continúan usando, los servicios de prueba Covid-19 de Walgreens durante el transcurso de la pandemia.


Banner_frasco-suscripcion-800x250

Varios expertos en seguridad le dijeron a Recode que las vulnerabilidades encontradas en el sitio son problemas básicos que el sitio web de una de las cadenas de farmacias más grandes de Estados Unidos debería haber sabido evitar . Walgreens se ha promocionado como un «socio vital en las pruebas», y las compañías de seguros y el gobierno reembolsan a la compañía esas pruebas.

Alejandro Ruiz, consultor de Interstitial Technology PBC, descubrió los problemas en marzo después de que un familiar se sometiera a una prueba de Covid-19. Dice que se comunicó con Walgreens por correo electrónico, teléfono y a través del formulario de seguridad del sitio web . La empresa no respondió, dice, lo que no le sorprendió.

People holding signs in favor of a path to citizenship stand at a New York City protest. One sign reads “DACA is not enough” while another says “citizenship for all.”
“Cualquier empresa que cometió errores tan básicos en una aplicación que maneja datos de atención médica es una que no se toma la seguridad en serio”, dijo Ruiz.

Recode informó a Walgreens de los hallazgos de Ruiz, que fueron confirmados por otros dos expertos en seguridad. Recode le dio tiempo a Walgreens para corregir las vulnerabilidades antes de publicar, pero Walgreens no lo hizo.

“Regularmente revisamos e incorporamos mejoras de seguridad adicionales cuando lo consideramos necesario o apropiado”, dijo la compañía a Recode.

Los datos confidenciales de las personas podrían estar expuestos a numerosas empresas de publicidad y datos para que los utilicen para sus propios fines, o pueden desalentarse de obtener una prueba Covid-19 de Walgreens si no están seguros de que sus datos estarán seguros. Las vulnerabilidades de la plataforma también son otro ejemplo de cómo la tecnología destinada a ayudar en el esfuerzo por detener la pandemia se construyó o implementó de manera demasiado rápida y descuidada para tener en cuenta la privacidad y la seguridad .

Walgreens tampoco quiso decir cuánto tiempo su plataforma de registro de pruebas ha tenido estas vulnerabilidades. Se remontan al menos hasta marzo, cuando Ruiz los descubrió, y probablemente mucho más que eso. Walgreens ha ofrecido pruebas de Covid-19 desde abril de 2020, y Wayback Machine, que mantiene archivos de Internet, muestra páginas de datos de confirmación de pruebas en blanco desde julio de 2020, lo que indica que el problema se remonta al menos hasta ese momento.

Los problemas están en el sistema de registro de citas de prueba Covid-19 de Walgreens, que cualquier persona que quiera obtener una prueba de Walgreens debe usar (a menos que compre una prueba de venta libre ). Una vez que el paciente completa y envía el formulario, se le asigna un número de identificación único de 32 dígitos y se crea una página de solicitud de cita, que tiene la identificación única en la URL.

Cualquiera que tenga un enlace a esa página puede ver la información que contiene; no es necesario autenticar que es el paciente o iniciar sesión en una cuenta. La página permanece activa durante al menos seis meses, si no más.

«El proceso técnico que implementó Walgreens para proteger la información confidencial de las personas era casi inexistente», dijo a Recode Zach Edwards, investigador de privacidad y fundador de la firma de análisis Victory Medium.

Las URL de estas páginas son las mismas, excepto por una identificación de paciente única contenida en lo que se llama una «cadena de consulta», la parte de la URL que comienza con un signo de interrogación. Dado que se realizaron millones de pruebas en más de 6.000 sitios de prueba de Walgreens utilizando este sistema de registro, es probable que existan millones de identificaciones activas.

Se podría adivinar una identificación activa, o un hacker determinado podría crear un bot que generara URL rápidamente con la esperanza de acceder a cualquier página activa, dijeron los expertos en seguridad a Recode, brindándoles una fuente de datos biográficos sobre personas que podrían usar para piratear sus cuentas. en otros sitios. Pero, dada la cantidad de caracteres que hay en las ID y, por lo tanto, la cantidad de combinaciones que hay, dijeron que sería casi imposible encontrar una sola página activa de esta manera, incluso con los millones que existen. Por supuesto, casi imposible no es lo mismo que imposible.

Cualquiera que tenga acceso al historial de navegación de alguien también puede ver la página. Eso podría incluir un empleador que registra las actividades de Internet de los empleados, por ejemplo, o alguien que accede al historial del navegador en una computadora pública o compartida.

«La seguridad por oscuridad es un modelo terrible para los registros de salud», dijo a Recode Sean O’Brien, fundador del Laboratorio de Privacidad de Yale.

Lo que hace que esta fuga potencial sea significativamente peor es la cantidad de datos almacenados en el sitio web y quién más podría tener acceso a ellos. Solo el nombre del paciente, el tipo de prueba y la hora y la ubicación de la cita son visibles en las páginas públicas, pero hay muchas más cosas que se encuentran detrás de escena, accesibles a través de cualquier navegador.

Como sucedió con las citas para vacunas , Walgreens requiere una gran cantidad de datos personales para registrarse en una de sus pruebas: nombre completo, fecha de nacimiento, número de teléfono, dirección de correo electrónico, dirección postal e identidad de género. Y con unos pocos clics en el panel de herramientas de desarrollo de un navegador, cualquier persona con acceso a la página de un paciente específico puede encontrar esta información.

Se incluye un «orderId», así como el nombre del laboratorio que realizó la prueba. Esa es toda la información que alguien necesitaría para acceder a los resultados de la prueba a través de al menos uno de los portales de resultados de pruebas Covid-19 de los socios de laboratorio de Walgreens, aunque solo los resultados de los últimos 30 días estaban disponibles cuando un reportero de Recode buscó los suyos.

Ruiz y los otros expertos en seguridad con los que habló Recode también expresaron su alarma por la cantidad de rastreadores que Walgreens colocó en sus páginas de confirmación. Señalaron la posibilidad de que las empresas propietarias de estos rastreadores, incluidos Adobe, Akami, Dotomi, Facebook, Google, InMoment, Monetate, así como cualquiera de sus socios de intercambio de datos, pudieran estar ingiriendo las identificaciones de los pacientes, que podrían usarse para averigüe las URL de las páginas de citas y acceda a la información que contienen.

“Solo la gran cantidad de rastreadores de terceros conectados al sistema de citas es un problema, antes de considerar la configuración descuidada”, dijo O’Brien de Yale.

El análisis de Edwards, el investigador de privacidad, encontró que varias de esas empresas estaban obteniendo URI, o identificadores uniformes de recursos, de las páginas de citas. A continuación, podrían utilizarse para acceder a los datos del paciente si la empresa que los recibe así lo desea. Dijo que este tipo de filtración es similar a lo que descubrió en sitios web como Wish, Quibi y JetBlue en abril de 2020, pero «mucho peor», ya que solo se filtraron direcciones de correo electrónico en esos casos.

“Este es un flujo de datos de tecnología publicitaria intencional, que sería realmente decepcionante, o un error colosal que ha puesto a una gran parte de los clientes de Walgreens en riesgo de violaciones de la cadena de suministro de datos”, dijo Edwards.

Walgreens le dijo a Recode que era una «máxima prioridad» proteger la información personal de sus pacientes, pero que también tenía que equilibrar la necesidad de proteger la información con hacer que las pruebas de Covid-19 fueran «lo más accesibles posible para las personas que buscan una prueba».

“Evaluamos continuamente nuestras soluciones tecnológicas para brindar servicios digitales seguros y accesibles a nuestros clientes y pacientes”, dijo Walgreens.

Una vez más, Walgreens no solucionó los problemas antes de la fecha límite extendida que Recode proporcionó a la empresa, ni le diría a Recode si planeaba hacerlo. No abordó las preguntas de Recode sobre los rastreadores de anuncios, excepto para decir que su uso de cookies se explica en su política de privacidad. Sin embargo, el rastreo a través de cookies no fue el problema que Recode y Ruiz identificaron a Walgreens, y la compañía no hizo más comentarios cuando se le explicó esto.

“Este es un ejemplo claro [de este tipo de vulnerabilidad], pero con datos de Covid y toneladas de información de identificación personal”, dijo Edwards. «Me sorprende que estén refutando esta clara brecha».

Los datos del miembro de la familia de Ruiz, junto con los de potencialmente millones de otros pacientes, permanecen en la actualidad.

“Es solo otro ejemplo de una gran empresa que prioriza sus ganancias sobre nuestra privacidad”, dijo.

Banner_azules
Reciba las últimas noticias de la industria en su casilla:

Suscribirse ✉