Fałszywe świadectwa testów koronowych

Darmowe testy z dostawą do domu

Wczoraj pisaliśmy o tym, iż na „festiwalu bez koronawirusa” ponad tysiąc osób zakaziło się COVID-19. Jak to możliwe? Być może odpowiedź na to pytanie przyniosą najnowsze informacje dotyczące włamania do Testcoronanu, przez które ludzie mogli praktycznie dowolnie fałszować certyfikaty zaświadczające o negatywnym wyniku testu na COVID-19.

Jak się okazało niedawno doszło do poważnego naruszenia zasad bezpieczeństwa danych w firmie Testcoronanu, odpowiadającej za przeprowadzanie badań na obecność COVID-19 w dziesięciu lokalizacjach na terenie całej Holandii. W efekcie ludzie, którzy włamali się do ich bazy danych, mogli fałszować zaświadczenia o negatywnym wyniku testu na obecność koronawirusa, zarówno w przypadku wyjazdów zagranicznych, jak i zwykłego wyjścia do klubu lub na dyskotekę (gdy to jeszcze było możliwe). Co więcej, jak podają służby, z bazy danych mogły wyciec prywatne dane ponad 60 000 przetestowanych Holendrów.

Hakerzy

Może się wydawać, iż dostęp do baz danych zawierających informacje wrażliwe, jakimi bez wątpienia są wyniki badań medycznych, powinien być maksymalnie utrudniony. Zabezpieczenia powinny być nie do złamania. Ci zaś, którym udaje się je obejść to absolutna światowa elita. Otóż niekoniecznie. Firma testująca korzystała z systemu bazodanowego Google Firestore. Zwykły użytkownik nie powinien mieć do niego dostępu. W tym wypadku jednak „holenderscy Kowalscy”, posiadający konto Testcoronanu, mogli uzyskać dostęp do bazy systemu. Można więc powiedzieć, iż nie było tam praktycznie żadnych zabezpieczeń. Cały problem polegał na tym, iż przed użytkownikiem stało kilka "drzwi". Trzeba było tylko wiedzieć, za którą klamkę pociągnąć.

Negatywny wynik

W zaistniałej sytuacji, by móc dodać negatywny wynik testu wystarczyło wpisać dwie linijki kodu z poziomu przeglądarki internetowej. Później zaś należało tylko poprawnie uzupełnić dane osobowe w formularzu. Dzięki temu otrzymywało się negatywny wynik testu w systemie CoronaCheck, nie udając się nawet do punktu wymazu, nie mówiąc już o szczepieniu.
Co ciekawe system ten działał nie tylko w przypadku, np. chęci wybrania się do klubu. Z zaświadczenia można było korzystać również jadąc za granicę. Stworzony w ten sposób certyfikat podróży został automatycznie podpisany przez lekarza.

Na kogo się chce i na kiedy się chce

Szybko też stało się jasne, iż system pozwala też stworzyć certyfikaty dla osób trzecich, nieznajdujących się w bazie. Dokument można było wystawić na dowolną osobę i na dowolną datę. Żartownisie mogli pokrzyżować plany znajomym, zmieniając w bazie wynik testu z negatywnego na pozytywny. W efekcie osoby lądujące, np. w Hiszpanii, zamiast cieszyć się urlopem, po zeskanowaniu kodu QR przez tamtejsze służby, mogły natychmiast trafić na kwarantannę. Można było również zmienić datę wykonanego już testu, dzięki czemu w ciągu kilku chwil legalny dokument mógł stać się nieważny.

Poza systemem

W momencie wykrycia problemu Ministerstwo Zdrowia, Opieki Społecznej i Sportu (VWS), wyłączyło firmę z systemu, z automatu unieważniając nowe dowody, które wychodziłyby spod jej szyldu. Oprócz tego zamknięte zostały wszystkie punkty testowe Testcoronanu. W tym tygodniu jej przedstawiciele mają poinformować wszystkich poszkodowanych klientów o wycieku ich danych.

Na sprawę wycieku trafili dziennikarze RTL Nieuws