Co jest zapalnikiem każdej tego rodzaju historii, to fakt, że władze uczelni nakazały instalację nieszczęsnej apki absolutnie wszystkim. Bez wyjątku musieli wyposażyć się w nią zarówno pracownicy, jak i studenci.
Za posłuszeństwo zostali nagrodzeni śledzeniem lokalizacji w trybie 24-godzinnym, a to wcale nie jest najgorsza z czyhających niespodzianek.
Klucze dostępu do zaplecza aplikacji zostały zahardkodowane, a z kolei identyfikatory użytkowników były kolejnymi liczbami całkowitymi. Każdy jeden użytkownik mógł odwołać się do backendu innej dowolnej osoby, jedynie podmieniając ID. To otwierało drogę do pobrania danych osobowych oraz wyniku testu na COVID-19.
Co prawda po zdecydowanej interwencji dziennikarzy TechCrunch placówka naprawiła błędy, ale wcześniej konsekwentnie zasłaniała się ustawą HIPAA. Słowem, kod poszedł na produkcję bez żadnego audytu i nikt nie widział w tym problemu.