Ασφάλιση υγείας: ένα κενό που επέτρεπε την πρόσβαση στο προσωπικό ταχυδρομείο των ασφαλισμένων

Phonandroid : actu Android et High-tech

Ο ιστότοπος Ασφάλισης Υγείας, Ameli.fr, ήταν το θύμα μιας ενοχλητικής παραβίασης της ασφάλειας. Χάρη σε αυτήν την παραβίαση, οποιοσδήποτε ασφαλισμένος θα μπορούσε να έχει πρόσβαση στα προσωπικά μηνύματα άλλων ασφαλισμένων αλλάζοντας απλώς έναν αριθμό στη διεύθυνση URL. Αυτά τα μηνύματα περιέχουν πολλά προσωπικά δεδομένα, όπως ονόματα, ονόματα, διευθύνσεις ή ακόμη και αριθμούς κοινωνικής ασφάλισης. Το ελάττωμα “διορθώθηκε αμέσως”.

Εντοπίστηκε σημαντική παραβίαση της ασφάλειας την Πέμπτη 19 Δεκεμβρίου 2019 στο Ameli.fr, την διαδικτυακή πύλη του Caisse Nationale de l’Assurance Maladie (CPAM). Σε κάθε περίπτωση, αυτό μας αποκαλύπτει τους συναδέλφους μας του εξειδικευμένου ιστότοπου NextInpact, οι οποίοι ειδοποιήθηκαν από έναν ενημερωμένο αναγνώστη. Αυτή η παραβίαση επέτρεψε πιθανώς σε κάθε ασφαλισμένο να έχει πρόσβαση στα προσωπικά μηνύματα άλλων ασφαλισμένων, απλώς τροποποιώντας έναν αριθμό στη διεύθυνση URL.

Αποδεικνύεται ότι τα μηνύματα που προορίζονται για τους αντισυμβαλλόμενους αποθηκεύονται σε μορφή PDF στον προσωπικό τους χώρο στον ιστότοπο Ameli.fr. Στην πραγματικότητα, τροποποιώντας έναν αριθμό στη διεύθυνση URL, ήταν δυνατό να συναντήσετε αλληλογραφία από οποιονδήποτε ασφαλισμένο τυχαία. Ωστόσο, αυτά τα μηνύματα περιέχουν μεγάλο αριθμό προσωπικών δεδομένων: όνομα, όνομα, διεύθυνση ηλεκτρονικού ταχυδρομείου και οικίας, αριθμούς κοινωνικής ασφάλισης, διάφορα αιτήματα για πληροφορίες, φροντίδα, απόρριψη φροντίδας κ.λπ.

Διαβάστε επίσης: Το carte vitale φτάνει στο smartphone από το 2021

“Η ασφάλεια είναι πλήρως εξασφαλισμένη”

Σύμφωνα με το NextInpact, « δεν ήταν δυνατό να στοχεύσετε ένα συγκεκριμένο άτομο ». Οι δημοσιογράφοι προσπάθησαν ακόμη να επωφεληθούν από αυτό το κενό, και πράγματι κατάφεραν να λάβουν τα προσωπικά μηνύματα άλλων ασφαλισμένων αλλάζοντας απλώς έναν αριθμό στη διεύθυνση URL. ” Αυτή η ανωμαλία που εντοπίστηκε διορθώθηκε αμέσως και η ασφάλεια της αλληλογραφίας στον λογαριασμό Ameli είναι πλέον πλήρως εξασφαλισμένη », Η Ameli διαβεβαίωσε τους συναδέλφους μας από την εφημερίδα Le Monde.

Σύμφωνα με την διαδικτυακή πύλη του CPAM, κανείς δεν θα είχε εκμεταλλευτεί αυτό το ελάττωμα εκτός από τους δημοσιογράφους του NextInpact και τον ενημερωμένο αναγνώστη τους. Αυτή η κατάσταση θα μπορούσε να γίνει γρήγορα εκρηκτική, δεδομένης της ευαισθησίας των διαθέσιμων δεδομένων σε αυτοεξυπηρέτηση. Ωστόσο, η Ameli.fr επιβεβαιώνει ότι « ο διοικητικός χαρακτήρας των πληροφοριών που περιέχονται σε αυτά τα έγγραφα περιόρισε σε μεγάλο βαθμό τον αντίκτυπο, καθώς οι επιστολές που έστειλαν τα αρχικά κεφάλαια στον ασφαλισμένο δεν περιείχαν προσωπικές ιατρικές πληροφορίες ».

Δεν είναι η πρώτη φορά που ο ιστότοπος Ameli.fr ή ευρύτερα το CPAM έχει πέσει θύματα προβλημάτων υπολογιστή ή κυβερνοεπιθέσεων. Τον Ιούνιο του 2018, μια τεράστια εκστρατεία ηλεκτρονικού ψαρέματος με ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου από την Ασφάλιση Υγείας ανάγκασε τον οργανισμό να αντιδράσει και να προειδοποιήσει όλους τους ασφαλισμένους για τον κίνδυνο. Οι χάκερ υποσχέθηκαν επιστροφές αρκετών εκατοντάδων ευρώ.

Πηγή: NextInpact