Bild: Getty Images
Die Auditor-General von Western Australia hat ihren Bericht an die COVID-19-Check-in-App des Staates, SafeWA, weitergegeben und enthüllt, dass nicht nur hat die Polizei auf ihre Daten zugegriffen, aber die App hatte bei ihrer Veröffentlichung eine Reihe von Fehlern.
WA Health lieferte die SafeWA-App im November 2020, um die COVID-Kontaktverfolgung durchzuführen.
In seinem Bericht [PDF] teilte das Office of the Auditor-General (OAG) mit, es sei besorgt über die Verwendung der über SafeWA gesammelten personenbezogenen Daten zu anderen Zwecken als der Verfolgung von COVID-Kontakten.
Mitte Juni führte die WA-Regierung Gesetze ein, um SafeWA-Informationen von Strafverfolgungsbehörden fernzuhalten, nachdem bekannt wurde, dass die Polizei sie zur Untersuchung von “zwei schweren Verbrechen” verwendet hat. Die öffentliche Mitteilung rund um die App war, dass sie nur für die Verfolgung von COVID-Kontakten verwendet würde.
Siehe auch: Die australischen Polizisten müssen daran erinnert werden, dass die Verfolgung von Kriminellen nicht das einzige Bedürfnis der Gesellschaft ist
“Im März 2021 gab WA Health als Reaktion auf unsere Audit-Frage zum Datenzugriff und zur Datennutzung bekannt, dass sie erhalten hatte Anfragen und polizeiliche Anordnungen gemäß dem Criminal Investigation Act 2006, SafeWA-Daten an die WA Police Force zu übermitteln”, heißt es in dem Bericht.
Die WA Police Force ordnete sechsmal Zugang zu den Daten an und beantragte einmal Zugang. Die Anordnungen wurden von Friedensrichtern auf Antrag der WA Police Force erlassen.
Der Polizei von WA wurde der Zugriff auf SafeWA-Daten für zu untersuchende Angelegenheiten erteilt, einschließlich eines Angriffs, der zu einer Platzwunde an der Lippe, einer Messerstecherei, einer Mordermittlung und einer möglichen Quarantäneverletzung führte.
p>
Die OAG sagte, WA Health habe schließlich als Reaktion auf drei der Anordnungen vor der Verabschiedung des Gesetzes Zugang gewährt. Anträge, die am 14. Dezember, 24. Dezember und 10. März bei WA Health eingereicht wurden, wurden den Polizisten vorgelegt; Anträge am 24. Februar, 1. April, 7. Mai und 27. Mai waren es nicht.
Die SafeWA-Datenschutzrichtlinie, der Benutzer vor der Verwendung zustimmen müssen, enthält Details, die WA Health sammelt, verarbeitet, speichert, offenlegt und nutzt, und verwendet personenbezogene Daten von Personen, die auf die mobile SafeWA-Anwendung zugreifen und diese verwenden. Die OAG erklärte auch, dass Informationen über Einzelpersonen an andere Stellen wie Strafverfolgungsbehörden, Gerichte, Tribunale oder andere relevante Stellen weitergegeben werden können.
Zu den von SafeWA erfassten Informationen gehören sensible personenbezogene Daten wie Name, E-Mail-Adresse, Telefonnummer, besuchter Veranstaltungsort oder besuchte Veranstaltung, Uhrzeit und Datum sowie Informationen über das zum Einchecken verwendete Gerät.
Zum 31. Mai 2021 waren über 1,9 Millionen Personen und 98.569 Veranstaltungsorte in der SafeWA-Anwendung registriert. Die Gesamtzahl der Check-in-Scans zwischen Dezember 2020 und Mai 2021 überstieg 217 Millionen.
Zusätzlich zum Zugriff der Polizei auf Kontaktverfolgungsdaten kam es kurz nach der ersten Veröffentlichung von SafeWA zu einem Systemausfall der App aufgrund eines schlechten Änderungsmanagements, wobei die OAG sagte, dass dies die Verfügbarkeit von SafeWA gefährdete.
“WA Health hat sich diesem Risiko angenommen und verwaltet weiterhin den Lieferantenvertrag, der Änderungen erforderte, da sich die Strategie des Staates zur Verwendung von SafeWA weiterentwickelt hat”, heißt es in dem Bericht.
Die App wurde von GenVis bereitgestellt und wird in der Amazon Web Services (AWS) Cloud gehostet. Der Gesamtauftragswert betrug anfangs 3 Millionen AU$, ist aber seit drei Jahren auf 6,1 Millionen AU$ gestiegen.
GenVis hat nach eigenen Angaben Prozesse eingerichtet, um Check-in-Daten 28 Tage nach der Erfassung zu löschen. Sollte ein Mitglied der Öffentlichkeit positiv auf COVID-19 testen oder sich als enger Kontakt qualifizieren, kann WA Health einen Teil der für diesen Fall relevanten Daten auf unbestimmte Zeit speichern. Die OAG sagte, dies widerspreche dem Protokollierungs- und Überwachungsstandard von WA Health, der eine Aufbewahrung für mindestens sieben Jahre und, wenn möglich, für den gesamten Lebenszyklus des Systems vorschreibt.
Ein weiteres Anliegen der OAG war, dass WA Health SafeWA-Zugriffsprotokolle nicht überwacht, um unbefugten oder unangemessenen Zugriff auf SafeWA-Informationen zu erkennen.
Die OAG sprach auch Probleme mit der Fähigkeit von WA Health und GenVis an, nur Anfragen zu stellen, nicht erzwingen, dass AWS keine Daten außerhalb Australiens überträgt, speichert oder verarbeitet.
WA Health verwendet vom Anbieter verwaltete Verschlüsselungsschlüssel für SafeWA, die in der AWS-Datenbank gespeichert sind, anstelle von selbstverwalteten Schlüsseln, bei denen der Cloud-Anbieter keine Sichtbarkeit oder keinen Zugriff darauf hat.
“WA Health hat uns mitgeteilt, dass die aktuelle Lösung erforderlich ist, damit AWS über Software auf Schlüssel zugreifen kann, um die Plattformwartung durchzuführen und den Anbieter bei technischen Problemen zu unterstützen”, heißt es in dem Bericht. “Obwohl die Wahrscheinlichkeit gering ist, könnte der Cloud-Anbieter verpflichtet sein, SafeWA-Informationen an ausländische Behörden weiterzugeben, da sie diesen Gesetzen unterliegen.”
Siehe auch: Generalstaatsanwalt aufgefordert, Fakten zu Zugriff der US-Strafverfolgungsbehörden auf COVIDSafe
Vor der Live-Schaltung stellte WA Health fest, dass die SafeWA-Registrierung mit einer falschen Nummer oder der Telefonnummer einer anderen Person abgeschlossen werden könnte, fügte die OAG hinzu.
“Dies lag daran, dass SafeWA die Telefonnummer eines Benutzers während des Registrierungsprozesses nicht vollständig überprüft hat”, hieß es. “Aufgrund des Timings der SafeWA-Entwicklung und der Notwendigkeit von WA Health, Risiko und Implementierung abzuwägen, wurde dieses Problem vor der Veröffentlichung nur teilweise gelöst. Die verbleibenden Schwächen könnten ausgenutzt werden, um gefälschte Konten und Check-ins zu registrieren.”
< p>Das Problem wurde im Februar behoben.
Es waren jedoch nicht nur die Polizisten, die möglicherweise auf Kontaktverfolgungsdaten zugegriffen haben, sondern die OAG stellte fest, dass sie auch besorgt war über die begrenzte Kommunikation über die Verwendung personenbezogener Daten durch WA Health, die von anderen Regierungsbehörden gesammelt wurden, einschließlich Transperth SmartRider, G2G-Grenzübergangspass der Polizei Daten und CCTV-Filmmaterial bei der Kontaktverfolgung. Während des Audits stellte die OAG auch fest, dass das Mothership und Salesforce-basierte Public Health COVID Unified System (PHOCUS) von WA Health auf SafeWA-Daten zugreift.
“Wenn WA Health von einer Pathologieklinik die Bestätigung eines positiven COVID-19-Falls erhält, verwendet es PHOCUS, um für den Fall relevante Daten aus verschiedenen Quellen zusammenzustellen”, heißt es in dem Bericht
“WA Health hat der Community nicht genügend Informationen über andere personenbezogene Daten, auf die sie zugreift, bereitgestellt, um ihre Bemühungen zur Kontaktverfolgung zu unterstützen.”
Die Kontaktverfolgungsanwendung Mothership weist laut OAG Sicherheitsschwächen auf, darunter eine schwache Passwortrichtlinie und die inkonsistente Verwendung der Multi-Faktor-Authentifizierung. Die OAG bereitet einen separaten Bericht vor, der sich auf das Mutterschiff und den PHOCUS konzentriert.
BEZOGENE ABDECKUNG
Westaustralien denkt endlich darüber nach, COVID-Check-in-Informationen von Cops unter Quarantäne zu stellenCOVIDSafe hat 1,65 Millionen „Handshakes“ hochgeladen und wurde nur verwendet von NSW und Victoria328 Schwachstellen, die von WA Auditor-General in 50 lokalen Regierungssystemen festgestellt wurden Das Leben mit COVID-19 führt zu einem Datenschutzdilemma für uns alle
Verwandte Themen:
Australien Sicherheit TV-Datenverwaltung CXO-Rechenzentren