独立系ソフトウェア開発者3人によると、水曜午後に修正されるまでは、HealthCare.govのスペイン語版であるCuidadoDeSalud.govにセキュリティ上の欠陥があり、ハッカーが登録者の入力時に個人情報を盗むことができた可能性があるという。 Nextgovが水曜日の早朝に欠陥について問い合わせた後、保健福祉省はソフトウェアエラーを修復した。
HHS は、次の期間のある時点で、英語圏のサイトで同様のバグを修正しました。10月4日そして10月10日。
国民がオンラインヘルスケアショップの存在を嘆く一方で、洗練されていない機能、特にサイトの信頼性が高まり、より多くのユーザーが集まるにつれて、同じ不手際が犯罪者に悪用される可能性のある脆弱性を生み出していると一部のプログラマーは述べています。
スペイン語版には欠陥が残っている可能性があります。推定ブラウザの開発者ツールを通じて公開コードを調査したガブリエル・ハロップ氏によると、マーケットプレイスを運営する5億行のコードは複数のシステム管理者によって管理され、別々のサーバーに常駐しているという。
HHS広報担当のジョアン・ピーターズ氏は水曜日、職員が弱点を修復し、追加の保護を追加していると述べた。
「私たちはユーザーのユーザー名と情報が安全に保たれるよう細心の注意を払ってきました。ユーザーがパスワードをリセットしようとするときに特定のリセット機能が表示されないようにすることで、この理論上の脆弱性を排除しています。」と彼女は電子メールで述べた。
HHS 関係者によると、職員はサーバーがブラウザに一意の Web セッション ID を送信できないようにすることで、この特定の問題を解決しているとのことです。外部プログラマーによると、IDはすべてのユーザーのブラウザに送信され、保存されていたという。
HealthCare.govの技術的問題の核心はその場限りの構築にある、と彼らは付け加えた。
直前に変更を加えてソフトウェア パッケージを追加する場合の問題は、「将来、コードまたは含まれているパッケージの 1 つに脆弱性が発生した場合、アップデートをプッシュできない可能性が高い」ということです。さもなければ、すぐに回避策を考案してください」とハロップ氏は火曜日の午後、修正の前に語った。 「したがって、これらのかなり小さな些細な問題を彼らが解決していないという事実だけでも、あまり良い兆候ではありません。」
彼は火曜日の朝、穴を探し始めてから 2 時間以内に不具合を発見しました。
特定されたいわゆる不可視フレーム挿入により、ハッカーが医療保険申請者が登録時に入力する社会保障番号やその他の機密情報を取得できる可能性があります。非表示のフレームは、クリック可能な広告ボックスを Web ページに埋め込むためによく使用されるコード文字列です。 CuidadoDeSalud.gov の IFrame エラーにより、権限のないユーザーが資格情報を盗むファイルを挿入することができ、たとえば、ユーザーがホームページ上の「Solicitar Ahora」(今すぐ申請)ボックスをクリックしたときにファイルがアクティブになるように設定できる可能性がありました。
他の研究者らは、個人情報の盗難は、この種の欠陥の潜在的な結果の 1 つであると述べています。
2 時間以内に 1 つの脆弱性が簡単に見つかるということは、コーディングとソフトウェア パッケージのつぎはぎシステムが残る限り、Healthcare.gov でセキュリティ上の問題が継続的に存在することを示している、と研究者らは政府とは別の取引を行っているため匿名を希望して述べた。
HealthCare.gov は、Windows XP の約 10 倍のコード行で構成されています。 「彼らの時間枠、制約、要件を考慮すると、それがすべて高品質のコードまたはオリジナルのコードだったということはあり得ません。したがって、彼らは大量のコピーアンドペーストを行っており、彼らが考えたあらゆるコードを横行的に組み込んでいたと考えてよいでしょう」役に立つでしょう」とハロップ氏は語った。
HealthCare.gov の別の欠陥は、電子メールやその他のアカウント情報が漏洩する可能性があり、民間人が HHS 職員に問題を通報した後、月曜日に削除されました。報告された時間。
サイトの巨大なサイズは「パフォーマンスに影響を及ぼします。これは今誰もが考えている最大のトピックですが、より多くの(アップグレード)とコードを導入するほど、潜在的なセキュリティの脆弱性が増えるため、セキュリティの問題でもあります」とハロップ氏は述べています。言った。
こうした懸念に対し、HHS当局者らは、オンラインフォームに記入する消費者は、入力された情報が厳格な基準によって保護されており、申請プロセスの基礎となる技術が安全であることを信頼できると述べた。
どうやら同局はサイトの公開前からセキュリティ上の危険性を認識していたようだ。 CNNは水曜日、HealthCare.govを管轄する機関であるメディケア・メディケイド・サービスセンターから内部メモを入手したが、このメモはHealthcare.govが開設される数日前に書かれ、検査が限られているためセキュリティリスクが「高い」と警告していた。
CMSメモには「システムの準備の問題により、(セキュリティ管理評価は)部分的にしか完了しなかった」と記載されている。 「これは、マーケットプレイスの Day 1 業務をサポートするために受け入れて軽減する必要があるリスクとなります。」
連邦当局は、CMSが9月6日、連邦規則に基づく慣行に従い、請負業者の評価を見直し、あらゆる潜在的な侵害が確実に対処されたことを確認した後、ハブを安全に打ち上げられると自己認証したと発表した。
評価は内部監査人による精査を受けていません。保健省監察官は、時間とリソースが限られているため、キックオフ前に草案と最終的な安全保障計画をレビューしないことを選択した、とIG関係者は述べた。Nextgovに伝えた9月に。
独立した研究者の一人は火曜日の夜、個人情報漏洩の危険性について保健省長官キャスリーン・セベリウスの首席補佐官にメッセージを残し、すぐに連絡できるよう名前と電話番号を提供した。
水曜の午後遅く、研究者は部門の従業員から電話を受け、検出された問題について詳しく知るために運用担当者が連絡するつもりだとの連絡を受けたと研究者は述べた。
さまざまなプログラマーたちは、その時点までにHHS職員が最も重大な間違いを正確に指摘し、修正したと感じていたと述べた。
[wp_scm_comment]