Les centres de test Covid divulguent des informations personnelles via l’API de WordPress

Plus de 14 000 patients ayant subi un test covid ont été affectés par une fuite de données en Allemagne cette semaine. Cela était dû au fait que le logiciel du centre de test utilisait des identifiants incrémentiels dans son point de terminaison API REST WordPress personnalisé.

Selon les chercheurs, il a été constaté qu’une société allemande nommée Eventus Media International (EMI) exploitait les centres de test à l’aide d’installations WordPress personnalisées.

L’appel du point de terminaison de l’API /wp-json/wp/v2/registration/ renvoie des données au format JSON, dont un numéro à 10 chiffres. Il s’agit en fait des numéros de tests covid utilisés par les patients pour obtenir les résultats de leurs tests.

Les codes à 10 chiffres divulgués pouvaient alors être saisis sur le site web pour récupérer les résultats des tests covid du patient, qui comprenaient également de nombreuses autres informations personnelles, telles que le nom, l’adresse, la date de naissance, le numéro de téléphone du patient, etc.

De plus, il n’y avait aucune limitation de débit en place. Cela permettait à un attaquant potentiel de parcourir toutes les données du patient sans que rien ne l’arrête.

Après avoir pris connaissance du problème, Eventus Media International (EMI) a corrigé la faille de sécurité le jour même. Désormais, ils exigent le nom ou l’adresse électronique de l’utilisateur, ainsi que le code à 10 chiffres. Et tous les codes précédents ont été modifiés.

C’est la deuxième fois que les chercheurs ont découvert de graves problèmes de sécurité dans le logiciel du centre de test covid.

Dans ce cas, la vulnérabilité n’était pas due à WordPress lui-même, mais plutôt à un point de terminaison d’API REST personnalisé. Les vulnérabilités étaient des problèmes de logique commerciale, une référence directe à un objet non sécurisée (IDOR) et l’absence de limitation de débit.

Le fondateur et PDG de WPScan, Ryan Dewhurst, note :

Il est très peu probable qu’un plugin de sécurité WordPress ait pu empêcher l’attaque. Il est certainement utile de maintenir vos sites Web WordPress et leurs plugins à jour, mais cela n’aurait pas empêché l’attaque non plus. Dans ce cas, la seule façon d’éviter l’attaque aurait été d’améliorer la sécurité lors de la phase de conception du développement du logiciel et des tests de pénétration ultérieurs.

Si vous avez besoin de services de tests de pénétration WordPress, contactez-nous. Nous disposons d’une équipe dédiée de professionnels de la sécurité WordPress ayant chacun plus de 10 ans d’expérience en matière de tests de sécurité.

Photo by Polina Tankilevitch from Pexels

Author avatar
Yvon
https://oeildelynx.net