Hoe het slordige Covid-19-testregistratiesysteem van Walgreens patiëntgegevens blootlegde

Miljoenen mensen kregen Covid-19-tests via Walgreens. Hun informatie was niet voldoende beschermd.

Dit verhaal maakt deel uit van een groep verhalen genaamd hercoderen

Ontdekken en uitleggen hoe onze digitale wereld verandert - en ons verandert.

Update, 20 september: Enkele dagen nadat dit verhaal was gepubliceerd, en na te hebben ontkend dat de oorspronkelijke pagina-opstelling onveilig was, voegde Walgreens een authenticatiescherm toe aan zijn Covid-19-testbevestigingspagina's, waardoor het voor kwaadwillenden moeilijker werd om toegang te krijgen tot de informatie. Met het nieuwe authenticatiescherm moet iedereen die toegang wil krijgen tot de testbevestigingspagina's nu eerst de geboortedatum van de patiënt invoeren. Op de patiëntenpagina's zijn nog meerdere advertentietrackers aanwezig.



Alejandro Ruiz, een consultant bij Interstitial Technology PBC die het potentiële datalek voor het eerst ontdekte, vertelde Recode dat hij de oplossing van Walgreens niet goed genoeg vond. Ruiz zei dat hij de voorkeur zou geven aan een veiligere verificatiemethode, zoals een wachtwoord, en merkte op dat de Application Programming Interface (API), waarmee Walgreens en zijn adverteerders met elkaar kunnen communiceren en gegevens kunnen uitwisselen, actief blijft.

Walgreens vertelde Recode dat het een extra laag aan de site had toegevoegd uit een overvloed aan voorzichtigheid, eraan toevoegend dat het niet op de hoogte was van enig geloofwaardig bewijs van ongeautoriseerde toegang tot patiëntgegevens.

Het beschermen van persoonlijke informatie van onze klanten en patiënten is altijd een van onze hoogste prioriteiten, die we zeer serieus nemen, aldus het bedrijf.


Als je een Covid-19-test hebt gekregen bij Walgreens, zijn je persoonlijke gegevens - inclusief je naam, geboortedatum, geslachtsidentiteit, telefoonnummer, adres en e-mailadres - op het open internet achtergelaten zodat mogelijk iedereen deze kan zien en voor de meerdere advertenties trackers op de site van Walgreens om te verzamelen. In sommige gevallen konden zelfs de resultaten van deze tests uit die gegevens worden afgeleid.

De blootstelling aan gegevens treft mogelijk miljoenen mensen die in de loop van de pandemie de Covid-19-testdiensten van Walgreens hebben gebruikt of blijven gebruiken.

Meerdere beveiligingsexperts vertelden Recode dat de kwetsbaarheden op de site basisproblemen zijn die de website van een van de grootste apotheekketens in de Verenigde Staten zou moeten hebben bekend vermijden . Walgreens heeft zichzelf gepromoot als een vitale partner bij het testen, en het bedrijf wordt voor die tests vergoed door verzekeringsmaatschappijen en de overheid.

Alejandro Ruiz, een consultant bij Interstitial Technology PBC, ontdekte de problemen in maart nadat een familielid een Covid-19-test had ondergaan. Hij zegt dat hij contact heeft opgenomen met Walgreens via e-mail, telefoon en via de website veiligheidsformulier . Het bedrijf reageerde niet, zegt hij, wat hem niet verbaasde.

Elk bedrijf dat zulke fundamentele fouten heeft gemaakt in een app die gezondheidsgegevens verwerkt, neemt beveiliging niet serieus, zei Ruiz.

Recode informeerde Walgreens over de bevindingen van Ruiz, die werden bevestigd door twee andere beveiligingsexperts. Recode gaf Walgreens de tijd om de kwetsbaarheden te repareren voordat het werd gepubliceerd, maar Walgreens deed dit niet.

We evalueren regelmatig en nemen aanvullende beveiligingsverbeteringen op wanneer dit nodig of passend wordt geacht, vertelde het bedrijf aan Recode.

De gevoelige gegevens van mensen kunnen worden blootgesteld aan talloze advertentie- en gegevensbedrijven om voor hun eigen doeleinden te gebruiken, of ze kunnen worden ontmoedigd om een ​​Covid-19-test van Walgreens te krijgen als ze er niet zeker van zijn dat hun gegevens veilig zullen zijn. De kwetsbaarheden van het platform zijn ook: een ander voorbeeld van hoe technologie die bedoeld was om te helpen bij het stoppen van de pandemie, te snel en onzorgvuldig werd gebouwd of geïmplementeerd om volledig rekening te houden met privacy en veiligheid.

Walgreens wil ook niet zeggen hoe lang zijn testregistratieplatform deze kwetsbaarheden heeft gehad. Ze gaan minstens zo ver terug als maart, toen Ruiz ze ontdekte, en waarschijnlijk veel langer dan dat. Walgreens biedt sinds april 2020 Covid-19-tests aan, en de Wayback Machine, die archieven van internet bijhoudt, shows lege pagina's met testbevestigingsgegevens al in juli 2020, wat aangeeft dat het probleem minstens zo ver teruggaat.

De problemen zitten in het Covid-19-registratiesysteem voor testafspraken van Walgreens, dat iedereen die een test wil krijgen van Walgreens moet gebruiken (tenzij ze een vrij verkrijgbaar toets). Nadat de patiënt het formulier heeft ingevuld en verzonden, wordt er een uniek 32-cijferig ID-nummer aan hem toegewezen en wordt er een afspraakverzoekpagina gemaakt met de unieke ID in de URL.

norman rockwell het probleem waarmee we leven
De pagina die is gemaakt nadat een patiënt zich aanmeldt voor een Covid-19-test (patiënt-ID in URL is vervaagd).

De pagina die is gemaakt nadat een patiënt zich aanmeldt voor een Covid-19-test (patiënt-ID in URL is vervaagd).

Iedereen die een link naar die pagina heeft, kan de informatie erop zien; het is niet nodig om te verifiëren dat ze de patiënt zijn of om in te loggen op een account. De pagina blijft minimaal zes maanden actief, zo niet langer.

Het technische proces dat Walgreens gebruikte om de gevoelige informatie van mensen te beschermen, bestond bijna niet, vertelde Zach Edwards, privacyonderzoeker en oprichter van het analysebedrijf Victory Medium, aan Recode.

De URL's voor deze pagina's zijn hetzelfde, met uitzondering van een unieke patiënt-ID in een zogenaamde zoekreeks - het deel van de URL dat begint met een vraagteken. Aangezien miljoenen tests op meer dan 6.000 Walgreens-testsites werden uitgevoerd met behulp van dit registratiesysteem, zijn er waarschijnlijk miljoenen actieve ID's. Een actieve ID kan worden geraden, of een vastberaden hacker kan een bot maken die snel URL's genereert in de hoop actieve pagina's te raken, vertelden beveiligingsexperts aan Recode, waardoor ze een bron van biografische gegevens kregen over mensen die ze konden mogelijk gebruiken om te hacken hun accounts op andere sites. Maar gezien het aantal tekens in de ID's en dus hoeveel combinaties er zijn, zeiden ze dat het bijna onmogelijk zou zijn om op deze manier slechts één actieve pagina te vinden - zelfs met de miljoenen die er zijn. Bijna onmogelijk is natuurlijk niet hetzelfde als onmogelijk.

Iedereen die toegang heeft tot iemands browsegeschiedenis, kan de pagina ook zien. Dat kan bijvoorbeeld een werkgever zijn die de internetactiviteiten van werknemers registreert, of iemand die toegang heeft tot de browsergeschiedenis op een openbare of gedeelde computer.

Security by obscurity is een vreselijk model voor medische dossiers, vertelde Sean O'Brien, de oprichter van Yale's Privacy Lab, aan Recode.

Wat dit potentiële lek aanzienlijk erger maakt, is hoeveel gegevens er op de website zijn opgeslagen en wie er nog meer toegang toe kan krijgen. Alleen de naam van de patiënt, het type test en de tijd en locatie van de afspraak zijn zichtbaar op de openbare pagina's zelf, maar veel meer dan dat is achter de schermen, toegankelijk via elke browser.

Zoals het deed met vaccinafspraken , heeft Walgreens veel persoonlijke gegevens nodig om zich te registreren voor een van zijn tests: volledige naam, geboortedatum, telefoonnummer, e-mailadres, postadres en geslachtsidentiteit. En met een paar klikken in het paneel met ontwikkelaarstools van een browser kan iedereen met toegang tot de pagina van een specifieke patiënt deze informatie vinden.

De bevestigingspagina

De bevestigingspagina's van Walgreens bevatten heel veel gevoelige persoonlijke informatie (wazig).

Inbegrepen is een orderId, evenals de naam van het laboratorium dat de test heeft uitgevoerd. Dat is alle informatie die iemand nodig zou hebben om toegang te krijgen tot de testresultaten via ten minste een van de Covid-19-testresultatenportalen van Walgreens 'labpartners, hoewel alleen resultaten van de afgelopen 30 dagen beschikbaar waren toen een Recode-verslaggever de hare opzocht.

Ruiz en de andere beveiligingsexperts waarmee Recode sprak, uitten ook hun bezorgdheid over het aantal trackers dat Walgreens op zijn bevestigingspagina's plaatste. Ze wezen op de mogelijkheid dat de bedrijven die eigenaar zijn van deze trackers - waaronder Adobe, Akami, Dotomi, Facebook, Google, InMoment, Monetate en al hun partners voor het delen van gegevens - de patiënt-ID's zouden kunnen binnenkrijgen, die kunnen worden gebruikt om de URL's van de afspraakpagina's achterhalen en toegang krijgen tot de informatie die ze bevatten.

Alleen het enorme aantal trackers van derden dat aan het afsprakensysteem is gekoppeld, is een probleem, voordat je de slordige opzet overweegt, zei O'Brien van Yale.

Uit analyse van Edwards, de privacyonderzoeker, bleek dat verschillende van die bedrijven URI's of Uniform Resource Identifiers van de afspraakpagina's kregen. Die zouden vervolgens kunnen worden gebruikt om toegang te krijgen tot de patiëntgegevens als het bedrijf dat ze ontvangt daartoe geneigd zou zijn. Hij zei dat dit type lek vergelijkbaar is met: wat hij ontdekte op websites zoals Wish, Quibi en JetBlue in april 2020 - maar veel erger, omdat in die gevallen alleen e-mailadressen werden gelekt.

Dit is ofwel een doelgerichte ad-tech-gegevensstroom, die echt teleurstellend zou zijn, of een kolossale fout die een groot deel van de Walgreens-klanten het risico heeft gegeven op inbreuken op de dataleveringsketen, zei Edwards.

Walgreens vertelde Recode dat het een topprioriteit was om de persoonlijke informatie van zijn patiënten te beschermen, maar dat het ook een evenwicht moest vinden tussen de noodzaak om informatie te beveiligen en Covid-19-testen zo toegankelijk mogelijk te maken voor personen die een test zoeken.

wat betekent het dragen van een veiligheidsspeld?

We evalueren voortdurend onze technologische oplossingen om veilige, beveiligde en toegankelijke digitale diensten aan onze klanten en patiënten te bieden, aldus Walgreens.

Nogmaals, Walgreens loste de problemen niet op vóór de verlengde deadline die Recode aan het bedrijf had verstrekt, en zou Recode ook niet vertellen of het van plan was dit te doen. Het ging niet in op de vragen van Recode over de advertentietrackers, behalve om te zeggen dat het gebruik van cookies wordt uitgelegd in het privacybeleid. Het volgen via cookies was echter niet het probleem dat Recode en Ruiz aan Walgreens identificeerden, en het bedrijf gaf geen commentaar toen dit werd uitgelegd.

Dit is een duidelijk voorbeeld [van dit type kwetsbaarheid], maar met Covid-gegevens en tonnen persoonlijk identificeerbare informatie, zei Edwards. Ik ben geschokt dat ze deze duidelijke schending weerleggen.

De gegevens van het familielid van Ruiz, samen met die van mogelijk miljoenen andere patiënten, zijn nog steeds actueel.

Het is gewoon een ander voorbeeld van een groot bedrijf dat zijn winst belangrijker vindt dan onze privacy, zei hij.