Jak nie robić aplikacji koronawirusowej — przedstawia pewna uczelnia

Szkoła wyższa w amerykańskim Michigan postanowiła walczyć z pandemią COVID-19 poprzez aplikację. Nic szczególnego, prawda? Jest jeden problem. Otóż narzędzie, delikatnie mówiąc, okazało się nie najlepszym przykładem podejścia do bezpieczeństwa. A właściwie to jego twórców można by od razu skazać na ostracyzm i nie ma w tym krztyny przesady.

Co jest zapalnikiem każdej tego rodzaju historii, to fakt, że władze uczelni nakazały instalację nieszczęsnej apki absolutnie wszystkim. Bez wyjątku musieli wyposażyć się w nią zarówno pracownicy, jak i studenci.

Za posłuszeństwo zostali nagrodzeni śledzeniem lokalizacji w trybie 24-godzinnym, a to wcale nie jest najgorsza z czyhających niespodzianek.

Klucze dostępu do zaplecza aplikacji zostały zahardkodowane, a z kolei identyfikatory użytkowników były kolejnymi liczbami całkowitymi. Każdy jeden użytkownik mógł odwołać się do backendu innej dowolnej osoby, jedynie podmieniając ID. To otwierało drogę do pobrania danych osobowych oraz wyniku testu na COVID-19.

Co prawda po zdecydowanej interwencji dziennikarzy TechCrunch placówka naprawiła błędy, ale wcześniej konsekwentnie zasłaniała się ustawą HIPAA. Słowem, kod poszedł na produkcję bez żadnego audytu i nikt nie widział w tym problemu.