カリフォルニア州を拠点とし、ロサンゼルス全域で新型コロナウイルス検査を提供している医療系スタートアップが、顧客が検査結果にアクセスするために使用していたウェブサイトに他人の個人情報にアクセスできる脆弱性が見つかったため、ウェブサイトを閉鎖した。
Total Testing Solutions(TTS)は、ロサンゼルス市内に10カ所の新型コロナウイルス検査施設を持ち、毎週、職場やスポーツ会場、学校などで「数千件」の新型コロナ(COVID-19)検査を処理している。検査結果通知の準備が整うと、顧客は結果を受け取るためのウェブサイトへのリンクが記載されたメールを受け取るようになっている。
しかし、同社のある顧客によると、ウェブサイトのアドレスに含まれる数字を一桁増減させることで、他の顧客の情報にアクセスできる脆弱性を発見したとのこと。それにより、その顧客は他の顧客の名前やテストの日付を見ることができた。また、新型コロナウイルスの検査結果にアクセスするためには生年月日が必要だが、この脆弱性を発見した顧客は、推測もしくはブルートフォース攻撃を行うのに「時間はかからない」と語った(30歳以下の人であれば、最大で誕生日を約1万1000回推測するだけだ)。
検査結果のウェブサイトは、顧客に電子メールアドレスとパスワードの入力を促すログインページで保護されているが、ウェブアドレスの変更や他の顧客の情
コメント