Um bug de segurança no Docket app saúde expôs as informações privadas de residentes vacinados contra COVID-19 em Nova Jersey e Utah, onde o aplicativo recebeu o endosso de funcionários estaduais.
O Docket permite que os residentes baixem e carreguem uma cópia digital de suas imunizações, obtendo seus registros de vacinação da autoridade de saúde do estado. A cópia digital possui as mesmas informações do cartão de papel COVID-19, mas é assinada digitalmente pelo estado para evitar falsificações. Docket é um dos vários chamados passaportes de vacina nos EUA, permitindo aos residentes mostrar seus registros de vacinação – ou um código QR que pode ser escaneado – para entrar em eventos, restaurantes ou cruzar para países onde as vacinas são necessárias.
Mas, por um tempo, o aplicativo permitiu que qualquer pessoa acessasse os códigos QR de outros usuários vacinados – e todas as informações pessoais e vacinas codificadas neles. Isso incluía nomes, datas de nascimento e informações sobre a situação vacinal contra COVID-19 de uma pessoa, como o tipo de vacina que recebeu e quando.
O TechCrunch descobriu o bug na terça-feira e imediatamente contatou a empresa. O presidente-executivo da Docket, Michael Perretta, disse que o bug foi corrigido no nível do servidor algumas horas depois.
O bug foi encontrado em como o aplicativo Docket solicita o código QR do usuário de seus servidores. O código QR do usuário é gerado no servidor na forma de um SMART Health Card, um padrão amplamente aceito para validar o status de vacinação de uma pessoa em todo o mundo. Esse código QR está vinculado a um ID de usuário, que não é visível no aplicativo, mas pode ser visualizado observando seu tráfego de rede usando software de prateleira como Burp Suite ou Charles Proxy.
Mas os servidores da Docket não estavam verificando se a pessoa solicitando um código QR tinha permissão para solicitá-lo. Isso significava que era possível para qualquer usuário do aplicativo alterar seu ID de usuário e solicitar o código QR de outra pessoa. Pior, os IDs de usuário do Docket são sequenciais e, portanto, novos códigos QR podem ser enumerados simplesmente alterando o ID do usuário por um único dígito.
Não se sabe se mais alguém descobriu o bug. Perretta disse que a empresa está “atualmente em processo de revisão de registros para determinar se houve qualquer atividade maliciosa na plataforma”. Perretta também disse que a empresa está trabalhando para informar os governos estaduais sobre o lapso, mas não disse se a empresa planeja notificar seus usuários sobre o lapso de segurança.
Nancy Kearney, porta-voz do Departamento de Saúde de Nova Jersey, disse em um comunicado: “O Departamento de Saúde de Nova Jersey foi notificado por nosso fornecedor, Docket, de uma vulnerabilidade de código relacionada ao lançamento recente de um código QR associado ao aplicativo. Docket garantiu ao Departamento que eles identificaram e corrigiram a vulnerabilidade dentro do código. Nenhuma outra funcionalidade do aplicativo foi afetada. A privacidade e a segurança dos usuários do Docket permanecem primordiais. No momento, o Docket está investigando qualquer indicação de registros em potencial que possam ter sido comprometidos. O Departamento continua a trabalhar com o Docket para garantir sua vigilância contínua sobre este assunto. ”
Um porta-voz do Departamento de Saúde de Minnesota também não respondeu. (O arquivo está disponível para residentes de Minnesota, mas o estado ainda não implantou os códigos QR.)
Tom Hudachko, porta-voz do Departamento de Saúde de Utah, disse: “O Departamento de Saúde de Utah está empenhado em garantir a privacidade dos residentes de Utah e espera que seus contratados e parceiros mantenham o mesmo compromisso. Docket nos notificou [Tuesday] de um bug em seu sistema que poderia permitir aos usuários receber informações pessoais de outros usuários. A Docket nos garantiu que identificou o que causou o bug e resolveu o problema. ”
“Estamos trabalhando com a Docket e nossas próprias equipes de segurança de dados para identificar todos os usuários que podem ter suas informações compartilhadas de maneira inadequada e fornecer notificação apropriada a esses indivíduos”, disse Hudachko.
Mas ainda há dúvidas sobre como o bug escapou para começar. Não se sabe exatamente quantas fichas de pessoas vacinadas estavam em risco. Na semana passada, Docket disse que alcançou um milhão de usuários. Nova Jersey e Utah têm 8,5 milhões de residentes que receberam pelo menos uma dose da vacina COVID-19 até o momento.
Perretta não disse, quando questionada, que tipo de teste de segurança foi feito no Docket antes de seu lançamento.
Hudachko, de Utah, disse que o Docket passou por uma “análise de segurança completa” pelos Centros de Serviços Medicare e Medicaid (CMS) e pelo Escritório do Coordenador Nacional de Tecnologia da Informação em Saúde (ONC), dois escritórios localizados no Departamento de Saúde e Recursos Humanos dos EUA Serviços (HHS). Um porta-voz do ONC adiou o comentário ao CMS e ao HHS, nenhum dos quais respondeu aos nossos pedidos de comentário.
Os Centros de Controle e Prevenção de Doenças (CDC), que aprovaram o aplicativo, também não responderam às perguntas sobre se a agência havia conduzido uma análise de segurança.
A Docket não é o único fabricante de aplicativos de passaporte de vacina que enfrentou problemas de segurança. O bug encontrado no aplicativo Docket é um problema quase idêntico encontrado em um aplicativo chamado Aura, que expôs milhares de códigos QR contendo o status de vacinação de funcionários e alunos. E no início deste ano, o aplicativo de comprovação de vacinação Portpass expôs as informações pessoais de centenas de milhares de pessoas após deixar seu site sem segurança, enquanto um hacker foi capaz de criar um passaporte de vacina totalmente falso usando o aplicativo oficial de prova de vacinação de Quebec.
