Результаты анализа 30 популярных приложений мобильного здравоохранения показали, что они дают доступ к истории болезней миллионов людей.
Исследование, проведенное партнером маркетингового агентства Knight Ink А. Найт от имени компании Approov по защите мобильных API-интерфейсов, показало, что приложения мобильного здравоохранения уязвимы к API-атакам. В рамках подобных атак неавторизованный злоумышленник может получить доступ к защищенной медицинской информации и персональным данным жертвы.
В ходе исследования был проведен анализ 30 популярных приложений мобильного здравоохранения со средним числом загрузок около 772 тыс. Ни в одном из проанализированных приложений не было реализовано закрепление сертификатов, подвергая пользователей угрозам MitM-атак, а 77% из них содержали встроенные API-ключи, токены и учетные данные. Половина API не аутентифицировала запросы с помощью токенов, а четверть приложений (27%) не были защищены от обратной разработки.
Половина записей, предоставляемых приложениями мобильного здравоохранения, содержала имена, адреса, даты рождения, номера социального страхования, данные об аллергиях, лекарствах и другую конфиденциальную информацию пользователей.
По словам эксперта, все протестированные конечные точки API были уязвимы к BOLA-атакам (broken object level authorization), обеспечивающим доступ к конфиденциальным медицинским данным даже пациентов, не привязанных к учетной записи врача. Половина протестированных API обеспечивала доступ к информации о патологиях, рентгеновским снимкам и клиническим результатам других пациентов.
Полицейские задержали торговца персональными данными россиян
Российские правоохранители задержали торговца персональными данными россиян. Об этом сообщает источник в правоохранительных органах.
Сотрудниками правоохранительных органов, а также специалистами в области компьютерной безопасности был установлен Федоров Ален Евгеньевич, который, по данным следствия, занимался продажей личных персональных данных россиян: копиями их паспортов, выписками из банков и другими документами потерпевших.
Ему предъявлено обвинение в совершении преступления, предусмотренного частью 4 статьи 272 УК РФ («Неправомерный доступ к компьютерной информации, причинивший крупный ущерб, совершенный организованной группой и создавший угрозу наступления тяжких последствий»).
Если вина Фёдорова будет доказана, то ему грозит до семи лет лишения свободы. Мужчина согласился с предъявленными обвинениями и уже дал признательные показания.