Bild: Getty Images
Generalrevisor i Västra Australien har överlämnat sin rapport till statens COVID-19-incheckningsapp, SafeWA, och avslöjade att inte bara fick polisen tillgång till dess data, men appen hade ett antal brister när den släpptes.
WA Health levererade SafeWA -appen i november 2020 för att utföra spårning av COVID -kontakt.
I sin rapport [PDF] sa generaldirektoratet (OAG) att det var oroligt för användningen av personlig information som samlats in via SafeWA för andra ändamål än spårning av COVID-kontakt.
I mitten av juni införde WA-regeringen lagstiftning för att hålla SafeWA-information borta från brottsbekämpande myndigheter efter att det avslöjats att polisen använde den för att undersöka “två grova brott”. Det offentliga meddelandet kring appen var att det endast skulle användas för spårning av COVID -kontakt.
Se också: Australiens poliser måste påminna om att jaga efter kriminella inte är samhällets enda behov
“I mars 2021, som svar på vår granskningsfråga kring datatillgång och användning, avslöjade WA Health att det hade fått förfrågningar och polisförelägganden enligt Criminal Investigation Act 2006 för att ta fram SafeWA -data till WA -polisstyrkan “, står det i rapporten.
WA -polisstyrkan beordrade åtkomst till uppgifterna vid sex tillfällen och begärde åtkomst vid ett tillfälle. Befallningarna utfärdades av fredsdomarna efter ansökan av WA -polisstyrkan.
WA -polisstyrkan beviljades order att få tillgång till SafeWA -uppgifter för ärenden som undersöks, inklusive ett överfall som resulterade i en skada på läppen, ett knivhugg, en mordutredning och ett potentiellt karantänbrott.
Riksrevisionen sa att WA Health i slutändan gav åtkomst som svar på tre av orderna innan lagstiftningen antogs. Ansökningar till WA Health den 14 december, 24 december och 10 mars lämnades till polisen; ansökningar den 24 februari, 1 april, 7 maj och 27 maj var det inte.
SafeWA: s sekretesspolicy, som användarna måste godkänna före användning, detaljer som WA Health samlar in, behandlar, lagrar, avslöjar och använder personlig information om personer som använder och använder SafeWA -mobilappen. Riksrevisionen säger också att information om individer kan lämnas ut till andra enheter, till exempel brottsbekämpning, domstolar, domstolar eller andra relevanta enheter.
Informationen som SafeWA fångar inkluderar känslig personlig information som namn, e-postadress, telefonnummer, besökt plats eller händelse, tid och datum och information om enheten som används för att checka in.
Per den 31 maj 2021 registrerades över 1,9 miljoner individer och 98 569 platser i SafeWA -applikationen. Det totala antalet incheckningsskanningar mellan december 2020 och maj 2021 översteg 217 miljoner.
Förutom att polisen fick tillgång till kontaktspårningsdata, kort efter det första släppandet av SafeWA, drabbades appen av ett systemavbrott på grund av dålig hantering av förändringar, och Riksrevisionen sa att detta riskerade tillgången på SafeWA.
“WA Health har hanterat denna risk och fortsätter att hantera leverantörskontraktet som har krävt ändringar när statens strategi för användning av SafeWA har utvecklats”, står det i rapporten.
Appen levererades av GenVis och finns i Amazon Web Services (AWS) moln. Det totala kontraktsvärdet var ursprungligen 3 miljoner AU, men har sedan dess stigit till 6,1 miljoner AU $ under tre år.
GenVis sa att det har processer på plats för att radera incheckningsdata 28 dagar efter insamlingen. Om en medlem av allmänheten testar positivt för COVID-19 eller kvalificerar sig som en nära kontakt, kan WA Health lagra en delmängd av data som är relevanta för det fallet på obestämd tid. Riksrevisionen sa att detta strider mot WA Healths loggnings- och övervakningsstandard, som kräver lagring i minst sju år och om möjligt för systemets livscykel.
Ytterligare oro för Riksrevisionen var att WA Health inte övervakar SafeWA -åtkomstloggar för att identifiera obehörig eller olämplig åtkomst till SafeWA -information.
Riksrevisionen tog också upp frågor om WA Health och GenVis förmåga att bara begära, inte genomdriva att AWS inte överför, lagrar eller behandlar data utanför Australien.
WA Health använder leverantörshanterade krypteringsnycklar för SafeWA, som lagras i AWS-databasen, istället för självhanterade nycklar där molnleverantören inte har synlighet eller åtkomst till dem.
“WA Health informerade oss om att den nuvarande lösningen krävs för att AWS ska kunna komma åt nycklar via programvara för att utföra plattformsunderhåll och stödja leverantören med tekniska problem”, står det i rapporten. “Även om sannolikheten är låg kan molnleverantören bli skyldig att lämna ut SafeWA-information till utomeuropeiska myndigheter eftersom den omfattas av dessa lagar.”
Se även: Attorney General uppmanas att ta fram fakta om Amerikansk brottsbekämpande tillgång till COVIDSafe
Innan WA Health gick live identifierade WA Health att SafeWA -registrering kan slutföras med ett felaktigt nummer eller någon annans telefonnummer, tillade OAG.
“Detta berodde på att SafeWA inte fullständigt verifierade en användares telefonnummer under registreringsprocessen”, stod det. “På grund av tidpunkten för SafeWA-utvecklingen och WA Healths behov av att balansera risk med implementering löstes detta problem endast delvis innan det gick live. De återstående svagheterna kan utnyttjas för att registrera falska konton och incheckningar.”
< p> Problemet löstes i februari.
Det var inte bara poliserna som kan ha fått tillgång till kontaktspårningsdata, men Riksrevisionen noterade att det också var bekymrat över den begränsade kommunikationen kring WA Healths användning av personlig information som samlats in av andra myndigheter, inklusive Transperth SmartRider, polisens G2G -gränsövergångskort data och CCTV -film i dess kontaktspårningsinsatser. Under granskningen identifierade Riksrevisionen också att WA Healths Mothership och Salesforce-baserade Public Health COVID Unified System (PHOCUS) har åtkomst till SafeWA-data.
“När WA Health får bekräftelse på ett positivt covid-19-fall från en patologiklinik använder den PHOCUS för att samla in uppgifter som är relevanta för fallet från flera källor”, står det i rapporten
“WA Health har inte lämnat tillräckligt med information till gemenskapen om annan personlig information som den får tillgång till för att hjälpa sina kontakter att spåra kontakter.”
Mothership-kontakten för spårning, sade OAG, har säkerhetsbrister, inklusive en svag lösenordspolicy och inkonsekvent användning av multifaktorautentisering. Riksrevisionen förbereder en separat rapport som fokuserar på moderskipet och FOKUS.
RELATERAD TÄCKNING
Västra Australien tänker äntligen på att karantänera COVID-incheckningsinformation från poliserCOVIDSafe laddade upp 1,65 m “handskakningar” och användes bara av NSW och Victoria328 svagheter som hittats av WA-generalrevisor i 50 lokala myndigheters system Att leva med COVID-19 skapar ett sekretessdilemma för oss alla
Relaterade ämnen:
Australien Security TV Data Management CXO Data Center