L’aplicació del Govern per al covid-19 exposava les dades personals dels usuaris

Un expert en seguretat informàtica i un desenvolupador web ho varen descobrir en tan sols mitja hora l’endemà que es presentàs Clinicovery i varen avisar les autoritats
L'app encara funciona com a plataforma per a investigacions clíniques / ISAAC BUJ

L’aplicació Clinicovery, que el Govern balear i l’empresa Apploading varen presentar per ajudar a fer el seguiment de possibles casos de covid-19 i ja no està disponible per a aquest ús, tenia una vulnerabilitat que exposava les dades personals dels usuaris que s’hi havien registrat. El consultor expert en seguretat informàtica José Nicolás Castellano i el desenvolupador web Andrei Coman ho varen descobrir just l’endemà que es posàs a disposició dels ciutadans i varen alertar el servei de Capacitat de Resposta a Incidents del Centre Criptològic Nacional (CCN-Cert), l’organisme que depèn del Centre Nacional d’Intel·ligència i vetla per la ciberseguretat de les administracions públiques. Fonts d’Apploading i del Govern han reconegut la vulnerabilitat a l’ARA Balears i que va ser la raó per la qual es va retirar l’aplicació per al covid-19, però fonts de Salut asseguren que es va comprovar que no hi havia hagut cap “exfiltració massiva d’informació”.

“Vàrem trobar una vulnerabilitat que permetia consultar les dades personals de tots els usuaris que s’havien registrat a l’aplicació”, explica Castellano. En concret, podien veure el nom, llinatges, número de DNI, telèfon, correu electrònic, població de residència, codi postal i fins i tot les fotografies que els usuaris pujaven a l’aplicació. “No era difícil accedir-hi; calien certs coneixements, però la qualificaria d’una vulnerabilitat de complexitat mitjana”, diu el consultor. El seu col·lega encara va més enllà. “Va ser una anàlisi molt ràpida, no vàrem perdre gaire temps per trobar l’errada, en mitja hora ja ho teníem, vaig tardar més a fer l’enginyeria inversa de l’aplicació”, explica Coman. Tot i això, a fonts de l’empresa Apploading els costa creure que la vulnerabilitat fos tan fàcil de trobar i afirmen que l’aplicació va estar quatre setmanes en mans dels responsables de seguretat i de protecció de dades de l’IB-Salut, els quals, com ells, no hi varen detectar cap problema.

El Govern balear s'embulla amb l'aplicació del coronavirus

Castellano no sap si algú altre va accedir a les dades personals dels usuaris i ni ell ni Coman varen intentar descobrir si podien llegir també la informació sobre els símptomes i l’historial de salut dels registrats, de manera que no saben si era vulnerable. Fonts d’Apploading descarten que aquestes altres dades poguessin estar exposades i asseguren que l’auditoria d’incidència ho ha deixat clar. “A més, ens varen avisar del problema diumenge a les 12 de la nit i en 15 minuts es va desactivar l’API de connexió de dades, de manera que ja no hi havia cap atac possible”, asseguren fonts d’Apploading. Una API (interfície de programació d’aplicacions) és un mètode que dona funcionalitats a una aplicació, explica Castellano, com ara llegir i escriure els perfils d’usuari. Per aconseguir la informació personal dels altres usuaris de Clinicovery només calia canviar el número del propi identificador d’usuari a l’API de Clinicovery pel de qualsevol altre usuari registrat.

L’empresa i el Govern fins ara havien amagat aquesta vulnerabilitat als ciutadans. La Conselleria de Salut va comunicar el 22 d’abril, cinc dies després de presentar l’aplicació, que a causa del “context de risc d’atac contra l’app de covid-19 posada a disposició dels ciutadans” havia demanat a l’empresa que la desactivàs. “La gran quantitat de campanyes malicioses a internet dificulten l’oferiment del servei amb normalitat”, deia la nota de Salut, i afegia que no hi havia hagut “cap filtració de dades ocasionada per un atac extern”. Per la seva banda, l’empresa, a la web de Clinicovery, va donar un argument semblant: “Davant l’actual risc d’atac per l’augment de campanyes malicioses en el context d’usos relacionats amb el covid-19, en suspenem el servei de seguiment mitjançant Clinicovery per prioritzar la prevenció i la seguretat”. En cap moment varen admetre que s’hi havia trobat una vulnerabilitat.

Bretxa o vulnerabilitat

El Reglament general de protecció de dades indica que, en cas que hi hagi una bretxa de seguretat, com ara l’accés no autoritzat a dades personals, els responsables de custodiar la informació tenen l’obligació d’avisar els afectats i l’Autoritat Espanyola de Protecció de Dades (AEPD). La notificació s’ha de fer com més aviat millor i, en principi, durant les primeres 72 hores des que es descobreix la bretxa. Apploading assegura que, dins d’aquest termini, es va fer l’auditoria d’incidència externa que va concloure que hi havia una vulnerabilitat, però no una bretxa de seguretat, perquè no s’havien filtrat dades personals, i que va lliurar l’informe a Salut, “que era l’entitat responsable de les dades personals”. Salut afirma que va intentar avisar l’AEPD, però que no va ser possible perquè aquell dia “estava en tasques de manteniment”. Quan varen tenir l’informe, varen determinar que no estaven “obligats” a fer-ho perquè no hi havia hagut cap “fuga de dades”. Tot i així, asseguren que sí que ho varen comunicar al CCN, que de fet és l’entitat que els havia avisat i amb qui han estat “en contacte constant”.

L’auditoria, segons ha reconegut Apploading, també va detectar que l’aplicació havia rebut diversos ciberatacs des de diferents llocs del món, tot i que cap havia resultat exitós.

Apploading afirma a la seva web que “Clinocovery està construïda de manera que totes les dades transmeses són xifrades o encriptades”, però Castellano va poder accedir a les dades personals dels usuaris sense problemes. L’empresa diu que l’aplicació, que ja funcionava i ho continua fent -amb la vulnerabilitat resolta- com a plataforma per a investigacions clíniques, estava preparada per treballar amb dades anònimes, tal com es fa amb aquesta mena d’estudis. Però varen haver d’incloure la petició de dades personals a través del registre web perquè Salut així els ho requeria. I admeten que en aquesta passa, que es va preparar a tota velocitat, es on es va cometre l’error. “Teníem poc temps i no hi havia les condicions necessàries”, reconeixen fonts d’Apploading, que alhora recorden que es varen oferir a adaptar la seva plataforma gratuïtament, dedicant-hi moltes hores, tan sols per ajudar a frenar l’expansió del virus a les Illes.

EDICIÓ PAPER 24/10/2020

Consultar aquesta edició en PDF