Immagine: Getty Images
Il revisore generale dell'Australia occidentale ha trasmesso il suo rapporto all'app di check-in COVID-19 dello stato, SafeWA, rivelando che non solo la polizia ha avuto accesso ai suoi dati, ma l'app presentava una serie di difetti quando è stata rilasciata.
WA Health ha fornito l'app SafeWA a novembre 2020 per eseguire il tracciamento dei contatti COVID.
Nel suo rapporto [PDF], l'Ufficio del revisore generale (OAG) ha affermato di essere preoccupato per l'uso delle informazioni personali raccolte tramite SafeWA per scopi diversi dal tracciamento dei contatti COVID.
A metà giugno, il governo WA ha introdotto una legislazione per tenere le informazioni SafeWA lontane dalle autorità di contrasto dopo che è stato rivelato che le forze di polizia le hanno utilizzate per indagare su “due gravi crimini”. Il messaggio pubblico intorno all'app indicava che sarebbe stato utilizzato solo per scopi di tracciamento dei contatti COVID.
Vedi anche: i poliziotti australiani devono ricordare che inseguire i criminali non è l'unico bisogno della società
“Nel marzo 2021, in risposta alle nostre domande di audit sull'accesso e l'utilizzo dei dati, WA Health ha rivelato di aver ricevuto richieste e ordini di polizia ai sensi del Criminal Investigation Act 2006 per produrre dati SafeWA per le forze di polizia della WA”, afferma il rapporto.
La polizia della WA ha ordinato l'accesso ai dati in sei occasioni e ha richiesto l'accesso in un'occasione. Gli ordini sono stati emessi dai giudici di pace su richiesta della polizia di Washington.
Alle forze di polizia della WA è stato concesso l'ordine di accedere ai dati di SafeWA per questioni oggetto di indagine, tra cui un'aggressione che ha provocato una lacerazione al labbro, un accoltellamento, un'indagine per omicidio e una potenziale violazione della quarantena.
p>
L'OAG ha affermato che WA Health alla fine ha fornito l'accesso in risposta a tre degli ordini prima dell'approvazione della legislazione. Le domande presentate a WA Health il 14 dicembre, 24 dicembre e 10 marzo sono state fornite ai poliziotti; le domande del 24 febbraio, 1 aprile, 7 maggio e 27 maggio non lo erano.
L'Informativa sulla privacy di SafeWA, che gli utenti devono accettare prima dell'uso, dettagli che WA Health raccoglie, elabora, conserva, divulga e utilizza le informazioni personali delle persone che accedono e utilizzano l'applicazione mobile SafeWA. L'OAG afferma inoltre che le informazioni sugli individui possono essere divulgate ad altre entità come forze dell'ordine, tribunali, tribunali o altre entità pertinenti.
Le informazioni acquisite da SafeWA includono informazioni personali sensibili come nome, indirizzo e-mail, numero di telefono, luogo o evento visitato, ora e data e informazioni sul dispositivo utilizzato per il check-in.
Al 31 maggio 2021, oltre 1,9 milioni di persone e 98.569 sedi erano registrate nell'applicazione SafeWA. Il numero totale di scansioni di check-in tra dicembre 2020 e maggio 2021 ha superato i 217 milioni.
Oltre all'accesso della polizia ai dati di tracciamento dei contatti, poco dopo il rilascio iniziale di SafeWA, l'app ha subito un'interruzione del sistema a causa della cattiva gestione delle modifiche, con l'OAG che ha affermato che ciò metteva a rischio la disponibilità di SafeWA.
“WA Health ha affrontato questo rischio e continua a gestire il contratto del fornitore che ha richiesto modifiche man mano che la strategia dello stato sull'uso di SafeWA si è evoluta”, afferma il rapporto.
L'app è stata fornita da GenVis ed è ospitata nel cloud Amazon Web Services (AWS). Il valore totale del contratto era inizialmente di 3 milioni di dollari australiani, ma da allora è salito a 6,1 milioni di dollari australiani in tre anni.
GenVis ha affermato di disporre di processi per eliminare i dati di check-in 28 giorni dopo la raccolta. Se un membro del pubblico risulta positivo al COVID-19 o si qualifica come un contatto stretto, WA Health può archiviare un sottoinsieme dei dati relativi a quel caso a tempo indeterminato. L'OAG ha affermato che ciò è contrario allo standard di registrazione e monitoraggio di WA Health, che richiede la conservazione per almeno sette anni e, ove possibile, per il ciclo di vita del sistema.
Un'ulteriore preoccupazione per l'OAG era il fatto che WA Health non monitorasse i registri di accesso di SafeWA per identificare l'accesso non autorizzato o inappropriato alle informazioni di SafeWA.
L'OAG ha anche sollevato problemi con WA Health e la capacità di GenVis di richiedere solo, non imporre, che AWS non trasferisca, conservi o elabori dati al di fuori dell'Australia.
WA Health utilizza chiavi di crittografia gestite dal provider per SafeWA, che sono archiviate nel database AWS, invece di chiavi autogestite in cui il provider cloud non ha visibilità o accesso ad esse.
“WA Health ci ha informato che la soluzione attuale è necessaria in modo che AWS possa accedere alle chiavi tramite software per eseguire la manutenzione della piattaforma e supportare il fornitore con problemi tecnici”, afferma il rapporto. “Sebbene la probabilità sia bassa, al fornitore di servizi cloud potrebbe essere richiesto di divulgare le informazioni di SafeWA alle autorità estere in quanto soggette a tali leggi.”
Vedi anche: il procuratore generale ha esortato a produrre fatti su Accesso delle forze dell'ordine statunitensi a COVIDSafe
Prima di andare in diretta, WA Health ha identificato che la registrazione SafeWA potrebbe essere completata con un numero errato o il numero di telefono di qualcun altro, ha aggiunto l'OAG.
“Questo perché SafeWA non ha verificato completamente il numero di telefono di un utente durante il processo di registrazione”, ha affermato. “A causa della tempistica dello sviluppo di SafeWA e della necessità di WA Health di bilanciare il rischio con l'implementazione, questo problema è stato risolto solo parzialmente prima della pubblicazione. Le restanti debolezze potrebbero essere sfruttate per registrare account e check-in falsi.”
< p>Il problema è stato risolto a febbraio.
Non sono stati solo i poliziotti ad aver avuto accesso ai dati di tracciamento dei contatti, tuttavia, con l'OAG che ha notato che era preoccupato anche per la comunicazione limitata sull'uso da parte di WA Health delle informazioni personali raccolte da altri enti governativi, tra cui Transperth SmartRider, Police G2G valico di frontiera dati e filmati CCTV nei suoi sforzi di tracciamento dei contatti. Durante l'audit, l'OAG ha anche identificato che Mothership di WA Health e il sistema unificato COVID di sanità pubblica basato su Salesforce (PHOCUS) accede ai dati SafeWA.
“Quando WA Health riceve la conferma di un caso positivo al COVID-19 da una clinica patologica, utilizza PHOCUS per raccogliere dati rilevanti per il caso provenienti da diverse fonti”, afferma il rapporto
“WA Health non ha fornito informazioni sufficienti alla comunità su altre informazioni personali a cui accede per aiutare i suoi sforzi di tracciamento dei contatti.”
L'applicazione di tracciamento dei contatti Mothership, ha affermato OAG, presenta punti deboli di sicurezza, tra cui una politica di password debole e un uso incoerente dell'autenticazione a più fattori. L'OAG sta preparando un rapporto separato incentrato sulla Nave madre e PHOCUS.
COPERTURA CORRELATA
L'Australia occidentale pensa finalmente di mettere in quarantena le informazioni sul check-in COVID dei poliziottiCOVIDSafe ha caricato 1,65 milioni di “strette di mano” ed è stato utilizzato solo da NSW e Victoria328 punti deboli rilevati dal revisore generale di WA in 50 sistemi di governo localeLa convivenza con COVID-19 crea un dilemma sulla privacy per tutti noi
Argomenti correlati:
Australia Security TV Data Management CXO Data Centers