Covid-tester kan läcka personuppgifter
Under förra året genomfördes över 14 miljoner PCR-tester för att påvisa covid-19 i Sverige. Forskare vid Umeå universitet har upptäckt att personuppgifter kan ha blivit läckta av de privata företag som hanterar testerna.
– Det här är något som kan ha påverkat tusentals svenskar, säger Alexandre Bartel, som leder forskargruppen Software Engineering and Security på Institutionen för datavetenskap vid Umeå universitet.
Fick tillgång till namn och personnummer
När du tar ett PCR-test sparas dina testintyg och därmed dina personuppgifter hos privata företag. Alexandre Bartel och hans forskargrupp har upptäckt en kritisk säkerhetsbrist hos ett av de företag som hanterar intygen i Sveriges största städer.
– Genom att tvinga servern att köras i ett oväntat tillstånd kunde jag få tillgång till personlig information, allt från namn och personnummer till var testet utfördes samt vad resultatet blev, säger Alexandre Bartel.
Eftersom dessa privata företag inte kommunicerar hur många tester de hanterar är det fortfarande oklart hur många personer som kan bli drabbade av en sådan sårbarhet.
Företaget åtgärdade snabbt svagheten
När Alexandre Bartel upptäckte problemet i juli 2021 kontaktade han omedelbart företaget. Med hans hjälp kunde företaget – som vill vara anonymt – snabbt hitta och åtgärda svagheten inom 24 timmar.
– Företaget hävdar att de kunde kontrollera att ingen läcka av data eller personlig information hade skett. De var mycket tacksamma och samtidigt har de nu insett att även om de vet att en hög säkerhetsnivå är avgörande för att hantera den här typen av information, så är en djupgående utvärdering av hela programvarusystemets säkerhet ett måste. Företaget säger även att de välkomnar ett framtida samarbete med Umeå universitet i detta område, säger Alexandre Bartel.
Personuppgifter kan läcka
Att dina personuppgifter blir hanterade på ett säkert sätt vid sjukdom och testning är för de flesta en självklarhet. I praktiken kan flera institutioner och företag dela och lagra dessa uppgifter mellan sig, vilket ökar risken för angrepp. Om en angripare hittar en sårbarhet i den svagaste länken kan uppgifterna bli exponerade.
– En anledning till att problem med dataläckage kan uppstå är att de företag som hanterar uppgifterna endast behöver följa svensk lagstiftning och uppfylla en lista med krav, säger Alexandre Bartel.
Men bara för att ett system uppfyller kraven betyder det inte att det är säkert. Det är inte heller obligatoriska att granska det verkliga systemet eller programvarorna. Därför kan brister när det gäller konfigurering och implementering passera under radarn.
– Alla företag utvecklar sina egna system eller köper en licens för ett sådant. Det innebär att liknande problem kan finnas i flera andra företag, fortsätter Alexandre.
Säkerhet i tidigt skede
Det finns två huvudaspekter på säkerhetsproblem. Den första är dataläckage, där en extern part kan se och få tillgång till personuppgifter och liknande. Den andra är när en extern aktör kan ta sig in i ett system och manipulera data. Genom att bygga system med säkerhet i åtanke från början samt låta en tredje part utvärdera systemet kan läckage och andra attacker minimeras. Det är särskilt viktigt om det handlar om personuppgifter.
– Tyvärr tänker de flesta på säkerheten alldeles för sent. De ser det främst som en kostnad, och dessutom är fördelarna med en hög säkerhet ofta osynliga. Om ett system är säkert uppstår inga problem, säger Alexandre Bartel.
Alexandre Bartel och hans forskargrupp på Institutionen för datavetenskap arbetar bland annat med att utveckla programvaruverktyg som kan hitta svagheter automatiskt och på så sätt minimera dataläckage och risken för attacker. Ett av målen är att minska den tid och de beräkningsresurser som krävs.
Kontakt:
Alexandre Bartel, professor, Institutionen för datavetenskap vid Umeå universitet, alexandre.bartel@umu.se