Indiaas softwarebedrijf lekt coronatests en privédata van 1,7 miljoen mensen

Indiaas softwarebedrijf lekt coronatests en privédata van 1,7 miljoen mensen

Een Indiase softwareleverancier voor de gezondheidszorg heeft de coronatests en persoonlijke gegevens van 1,7 miljoen Indiërs en buitenlanders die het land bezochten gelekt. Het gaat onder andere om vaccinatiestatus, medische aandoeningen, naam, paspoortnummer, nationaliteit, geboortedatum, adresgegevens, telefoonnummers en coronatestresultaten.

De gegevens stonden op een onbeveiligde Elasticsearch-server en waren voor iedereen op internet toegankelijk, zo ontdekte beveiligingsonderzoeker Anurag Sen. Hij deelde zijn bevindingen met Hackread, dat gedeeltelijke informatie van getroffen Amerikaanse, Canadese en Indiase burgers publiceerde. De Elasticsearch-server was sinds 2 juli op internet te vinden en was op 25 september nog altijd niet beveiligd, ook al is het betreffende softwarebedrijf ingelicht. Sen wil de naam van de leverancier dan ook niet bekendmaken.

De testresultaten waren afkomstig van een coronazelftest genaamd Covi-Catch. Hierbij nemen gebruikers een zelftest af en kunnen vervolgens de resultaten via een smartphone-app registreren (pdf). De data van deze gebruikers is vervolgens verwerkt via Elasticsearch. Dit is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse.



Bron: https://www.security.nl/posting/769465/Indiaas+softwarebedrijf+lekt+coronatests+en+priv%C3%A9data+van+1%2C7+miljoen+mensen?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.