Inde, une faille de sécurité expose les résultats du test COVID-19 sur le site Web du gouvernement bengali

  • Flowflex Autotest Flowflex Antigénique Covid-19 - agrée ANSM - Lot de 50
    Kit Auto-test FlowFlex Antigénique Covid 19 pour effectuer un test immunochromatographique et avoir un résultat en 15 minutes, validé par l'ANSM (Autorité Nationale de Surete du Médicament). Fonctionnement par détection de la protéine de nucléocapside du SARS-CoV-2.Kit nasal. Notice en français inclus dans le produit.Résultats en 15 minutesProduit réservé aux professionnels.Revente encadrée par l'article L4211-1 du code de la santé publique.Pour ce dispositif médical de diagnostic in vivo, le conseil d'un professionnel de santé peut être nécessaire


Le chercheur en sécurité a identifié le problème Sourajeet Majumder qui, une fois le test terminé, a constaté que le site Web du gouvernement bengali envoyait un message texte au patient avec un lien contenant les résultats.

Le problème vient du fait que l’URL en question contient un numéro d’identification unique codé en base64 et séquencé par incréments. Bref, rien qui ne puisse être facilement contourné des pirates malveillants. Le bug du site Web permettait à quiconque de changez simplement le numéro d’identification dans la barre d’adresse et afficher sur votre navigateur Web pas seulement les résultats des tests d’autres patients (positivité ou non), mais aussi des informations sensibles telles que nom et adresse de résidence.

Majumder a signalé la vulnérabilité au CERT indien, l’unité d’intervention de sécurité informatique du pays, confirmant la présence du problème. Le site Web il a été désactivé fin février et pour le moment, on ne sait pas exactement quel est exactement le nombre de résultats exposés sur le net. Pour donner une idée, Techcrunch rapporte qu’avant la fermeture du site, le gouvernement de l’État avait effectué le test sur plus de 8,5 millions d’habitants.