Afbeelding: Getty Images
De auditeur-generaal van West-Australië heeft haar rapport doorgegeven aan SafeWA, de COVID-19-incheckapp van de staat, waaruit blijkt dat niet alleen heeft de politie toegang gekregen tot de gegevens, maar de app had een aantal gebreken toen deze werd uitgebracht.
WA Health leverde de SafeWA-app in november 2020 om COVID-contactopsporing uit te voeren.
In zijn rapport [PDF] zei het Office of the Auditor-General (OAG) dat het zich zorgen maakte over het gebruik van persoonlijke informatie die via SafeWA is verzameld voor andere doeleinden dan het traceren van COVID-contacten.
Midden juni heeft de WA-regering wetgeving ingevoerd om SafeWA-informatie weg te houden van wetshandhavingsinstanties nadat bekend was geworden dat de politie het gebruikte om “twee ernstige misdaden” te onderzoeken. De openbare berichten rond de app waren dat deze alleen zou worden gebruikt voor het traceren van COVID-contacten.
Zie ook: Australische politie moet eraan worden herinnerd dat het achtervolgen van criminelen niet de enige behoefte van de samenleving is
“In maart 2021, in antwoord op onze controlevragen over gegevenstoegang en -gebruik, onthulde WA Health dat het had ontvangen verzoeken en politiebevelen onder de Criminal Investigation Act 2006 om SafeWA-gegevens aan de WA Police Force te verstrekken”, aldus het rapport.
De politie van WA heeft zes keer inzage gegeven in de gegevens en één keer om inzage gevraagd. De bevelen werden uitgevaardigd door vrederechters op verzoek van de politie van WA.
De politie van WA heeft orders gekregen om toegang te krijgen tot SafeWA-gegevens voor zaken die worden onderzocht, waaronder een aanval die resulteerde in een scheur in de lip, een steekpartij, een moordonderzoek en een mogelijke quarantaine-inbreuk.
p>
De OAG zei dat WA Health uiteindelijk toegang verleende in reactie op drie van de bevelen vóór de goedkeuring van de wetgeving. Aanvragen bij WA Health op 14 december, 24 december en 10 maart werden aan de politie verstrekt; aanvragen op 24 februari, 1 april, 7 mei en 27 mei niet.
Het SafeWA-privacybeleid, waarmee gebruikers vóór gebruik akkoord moeten gaan, bevat details die WA Health verzamelt, verwerkt, bewaart, openbaar maakt en gebruikt persoonlijke informatie van mensen die toegang hebben tot de mobiele SafeWA-applicatie en deze gebruiken. De OAG zei dat het ook stelt dat informatie over individuen kan worden bekendgemaakt aan andere entiteiten, zoals wetshandhavingsinstanties, rechtbanken, tribunalen of andere relevante entiteiten.
De informatie die SafeWA vastlegt, omvat gevoelige persoonlijke informatie zoals naam, e-mailadres, telefoonnummer, bezochte locatie of evenement, tijd en datum en informatie over het apparaat dat is gebruikt om in te checken.
Op 31 mei 2021 waren meer dan 1,9 miljoen personen en 98.569 locaties geregistreerd in de SafeWA-applicatie. Het totale aantal check-in scans tussen december 2020 en mei 2021 bedroeg meer dan 217 miljoen.
Naast het feit dat de politie toegang kreeg tot contacttraceergegevens, had de app kort na de eerste release van SafeWA een systeemstoring als gevolg van slecht beheer van wijzigingen, waarbij de OAG zei dat dit de beschikbaarheid van SafeWA in gevaar bracht.
“WA Health heeft dit risico aangepakt en gaat door met het beheren van het leverancierscontract dat wijzigingen vereist naarmate de staatsstrategie voor het gebruik van SafeWA is geëvolueerd”, aldus het rapport.
De app is geleverd door GenVis en wordt gehost in de Amazon Web Services (AWS) cloud. De totale contractwaarde was aanvankelijk AU$3 miljoen, maar is in drie jaar tijd gestegen tot AU$6,1 miljoen.
GenVis zei dat het processen heeft om incheckgegevens 28 dagen na verzameling te verwijderen. Mocht een lid van het publiek positief testen op COVID-19 of zich kwalificeren als een nauw contact, dan kan WA Health een subset van de gegevens die relevant zijn voor dat geval voor onbepaalde tijd opslaan. De OAG zei dat dit in strijd is met de log- en monitoringstandaard van WA Health, die een bewaring vereist van ten minste zeven jaar en waar mogelijk voor de levenscyclus van het systeem.
Een ander punt van zorg voor de OAG was dat WA Health SafeWA-toegangslogboeken niet controleert om ongeautoriseerde of ongepaste toegang tot SafeWA-informatie te identificeren.
De OAG bracht ook problemen aan de orde met WA Health en GenVis' mogelijkheid om alleen te verzoeken, niet om afdwingen dat AWS geen gegevens buiten Australië overdraagt, opslaat of verwerkt.
WA Health gebruikt door de provider beheerde coderingssleutels voor SafeWA, die worden opgeslagen in de AWS-database, in plaats van zelfbeheerde sleutels waar de cloudprovider geen zicht op of toegang toe heeft.
“WA Health heeft ons laten weten dat de huidige oplossing nodig is, zodat AWS via software toegang heeft tot sleutels om platformonderhoud uit te voeren en de leverancier te ondersteunen bij technische problemen”, aldus het rapport. “Hoewel de kans klein is, kan de cloudprovider worden verplicht om SafeWA-informatie bekend te maken aan overzeese autoriteiten, aangezien deze onderworpen is aan die wetten.”
Zie ook: Procureur-generaal drong aan op feiten over Amerikaanse wetshandhavers toegang tot COVIDSafe
Voorafgaand aan de livegang heeft WA Health vastgesteld dat SafeWA-registratie kan worden voltooid met een onjuist nummer of het telefoonnummer van iemand anders, voegde de OAG eraan toe.
“Dit kwam omdat SafeWA het telefoonnummer van een gebruiker niet volledig heeft geverifieerd tijdens het registratieproces”, zei het. “Vanwege de timing van de ontwikkeling van SafeWA en de noodzaak van WA Health om risico's en implementatie in evenwicht te brengen, werd dit probleem slechts gedeeltelijk opgelost voordat het live ging. De resterende zwakke punten konden worden misbruikt om nepaccounts en check-ins te registreren.”
< p>Het probleem is in februari opgelost.
Het was echter niet alleen de politie die toegang had tot contacttraceergegevens, maar de OAG merkte op dat het ook bezorgd was over de beperkte communicatie rond het gebruik door WA Health van persoonlijke informatie verzameld door andere overheidsinstanties, waaronder Transperth SmartRider, politie G2G-grensovergangspas gegevens en CCTV-beelden bij haar inspanningen voor het opsporen van contacten. Tijdens de audit heeft de OAG ook vastgesteld dat het Mothership en Salesforce-based Public Health COVID Unified System (PHOCUS) van WA Health toegang heeft tot SafeWA-gegevens.
“Wanneer WA Health bevestiging ontvangt van een positief geval van COVID-19 van een pathologiekliniek, gebruikt het PHOCUS om gegevens te verzamelen die relevant zijn voor de zaak uit verschillende bronnen”, aldus het rapport
“WA Health heeft de gemeenschap onvoldoende informatie verstrekt over andere persoonlijke informatie waartoe het toegang heeft om te helpen bij het traceren van contacten.”
De applicatie voor het traceren van contacten van Mothership, zei OAG, heeft zwakke plekken in de beveiliging, waaronder een zwak wachtwoordbeleid en inconsistent gebruik van multi-factor authenticatie. De OAG bereidt een afzonderlijk rapport voor dat is gericht op het moederschip en de PHOCUS.
GERELATEERDE DEKKING
West-Australië denkt eindelijk na over het in quarantaine plaatsen van COVID-incheckinformatie van de politie COVIDSafe heeft 1,65 miljoen 'handdrukken' geüpload en is alleen gebruikt door NSW en Victoria328 zwakke punten gevonden door WA auditor-generaal in 50 lokale overheidssystemenLeven met COVID-19 zorgt voor een privacydilemma voor ons allemaal
gerelateerde onderwerpen:
Australië Beveiliging TV-gegevensbeheer CXO-datacenters