Jak nie robić aplikacji koronawirusowej — przedstawia pewna uczelnia Strona główna Aktualności21.08.2020 11:40 Udostępnij: O autorze Piotr Urbaniak @gtxxor Szkoła wyższa w amerykańskim Michigan postanowiła walczyć z pandemią COVID-19 poprzez aplikację. Nic szczególnego, prawda? Jest jeden problem. Otóż narzędzie, delikatnie mówiąc, okazało się nie najlepszym przykładem podejścia do bezpieczeństwa. A właściwie to jego twórców można by od razu skazać na ostracyzm i nie ma w tym krztyny przesady. Co jest zapalnikiem każdej tego rodzaju historii, to fakt, że władze uczelni nakazały instalację nieszczęsnej apki absolutnie wszystkim. Bez wyjątku musieli wyposażyć się w nią zarówno pracownicy, jak i studenci. Za posłuszeństwo zostali nagrodzeni śledzeniem lokalizacji w trybie 24-godzinnym, a to wcale nie jest najgorsza z czyhających niespodzianek. endpoint: 'https://t.co/a5j4nvu5nQ', accessKeyId: '[REMOVED FOR REASONS]', secretAccessKey: '[REMOVED FOR REASONS]', region: 'us-west-2'— q3w3e3 (@Q3w3e3) August 12, 2020 Klucze dostępu do zaplecza aplikacji zostały zahardkodowane, a z kolei identyfikatory użytkowników były kolejnymi liczbami całkowitymi. Każdy jeden użytkownik mógł odwołać się do backendu innej dowolnej osoby, jedynie podmieniając ID. To otwierało drogę do pobrania danych osobowych oraz wyniku testu na COVID-19. Co prawda po zdecydowanej interwencji dziennikarzy TechCrunch placówka naprawiła błędy, ale wcześniej konsekwentnie zasłaniała się ustawą HIPAA. Słowem, kod poszedł na produkcję bez żadnego audytu i nikt nie widział w tym problemu. Oprogramowanie Bezpieczeństwo Koronawirus Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także STOP COVID – ProteGO Safe po aktualizacji. Teraz "dogaduje się" z programami zza granicy 26 lis 2020 Oskar Ziomek Oprogramowanie Bezpieczeństwo Koronawirus 37 iOS 13.7 z Exposure Notification Express, czyli nowy etap śledzenia kontaktu z COVID-19 3 wrz 2020 Oskar Ziomek Oprogramowanie Koronawirus 22 Samsung: stwierdzono COVID-19 u jednego z pracowników fabryki w Polsce 1 wrz 2020 Piotr Urbaniak Sprzęt Biznes Koronawirus 21 Szczepionka na COVID-19. Hakerzy atakowali producentów 14 lis 2020 Jakub Krawczyński Bezpieczeństwo Koronawirus 37
Udostępnij: O autorze Piotr Urbaniak @gtxxor Szkoła wyższa w amerykańskim Michigan postanowiła walczyć z pandemią COVID-19 poprzez aplikację. Nic szczególnego, prawda? Jest jeden problem. Otóż narzędzie, delikatnie mówiąc, okazało się nie najlepszym przykładem podejścia do bezpieczeństwa. A właściwie to jego twórców można by od razu skazać na ostracyzm i nie ma w tym krztyny przesady. Co jest zapalnikiem każdej tego rodzaju historii, to fakt, że władze uczelni nakazały instalację nieszczęsnej apki absolutnie wszystkim. Bez wyjątku musieli wyposażyć się w nią zarówno pracownicy, jak i studenci. Za posłuszeństwo zostali nagrodzeni śledzeniem lokalizacji w trybie 24-godzinnym, a to wcale nie jest najgorsza z czyhających niespodzianek. endpoint: 'https://t.co/a5j4nvu5nQ', accessKeyId: '[REMOVED FOR REASONS]', secretAccessKey: '[REMOVED FOR REASONS]', region: 'us-west-2'— q3w3e3 (@Q3w3e3) August 12, 2020 Klucze dostępu do zaplecza aplikacji zostały zahardkodowane, a z kolei identyfikatory użytkowników były kolejnymi liczbami całkowitymi. Każdy jeden użytkownik mógł odwołać się do backendu innej dowolnej osoby, jedynie podmieniając ID. To otwierało drogę do pobrania danych osobowych oraz wyniku testu na COVID-19. Co prawda po zdecydowanej interwencji dziennikarzy TechCrunch placówka naprawiła błędy, ale wcześniej konsekwentnie zasłaniała się ustawą HIPAA. Słowem, kod poszedł na produkcję bez żadnego audytu i nikt nie widział w tym problemu. Oprogramowanie Bezpieczeństwo Koronawirus Udostępnij: © dobreprogramy Zgłoś błąd w publikacji