Se ha descubierto una falla en la aplicación Express Plus Medicare que permite a las personas falsificar sus certificados de vacunación contra Covid en menos de 10 minutos.
Una vez que los australianos reciben ambas dosis de la vacuna Covid-19, pueden mostrar un certificado en la aplicación que incluye su nombre, fecha de nacimiento y qué vacuna recibieron.
El primer ministro, Scott Morrison, lo describió el mes pasado como “un certificado de vacunación digital creíble, eficaz y de fácil uso que se puede proporcionar a los australianos”.
El certificado tiene una animación digital detrás, que está diseñada para evitar que las personas presenten versiones falsas, pero el ingeniero de software de Sydney, Richard Nelson, descubrió que pudo explotar una falla de seguridad en la aplicación y proporcionarle información falsa sobre la vacuna que parecía idéntica a la real. cosa.
Nelson intentó informar a Services Australia sobre la falla, pero le resultó difícil comunicarse directamente con el departamento. No ha recibido respuesta. Lo informó a la Australian Signals Directorate, el organismo gubernamental que supervisa los riesgos de inteligencia y ciberseguridad. Recibió reconocimiento de su contacto, pero no hubo respuesta.
Frustrado, esta semana tuiteó otra demostración de la falla, esta mostrando que pudo engañar a la aplicación para que presentara un “certificado” para las vacunas que usan hidroxicloroquina e ivermectina, ninguna de las cuales son vacunas. La falsificación se hizo como una broma y utilizó al diputado federal Craig Kelly como sujeto. Kelly no participó de ninguna manera en la producción del certificado.
Nelson dijo que el problema principal con el certificado era que no había forma de que los restaurantes u otros lugares verificaran que era legítimo, si se convertía en un requisito para la entrada.
“Si vamos a permitir que las personas vacunadas hagan cosas que actualmente no podemos hacer, como entrar a un restaurante, tiene que haber una forma para que el dueño del restaurante verifique que lo que se les muestra es de confianza, sin invadir la privacidad de las personas. ,” él dijo.
El portavoz de Services Australia, Hank Jongen, no indicó cuándo se arreglaría la aplicación. Dijo que la agencia estaba “en constante evolución de las pruebas de los certificados de vacunación, incluido el fortalecimiento de las medidas de seguridad”.
“Contamos con ciberseguridad actual para proteger la información personal de las personas. Esto incluye mecanismos sólidos de monitoreo y detección de fraude que protegen los detalles de Medicare de las personas, incluidos los certificados digitales Covid-19.
“Estamos trabajando con el centro de ciberseguridad australiano, que proporciona orientación sobre ciberseguridad a las entidades gubernamentales para respaldar las iniciativas de certificados de vacunas”.
Jongen dijo que la versión actual del certificado digital tenía “varias medidas antifraude”, y la falla de seguridad no significaba que los sistemas de Medicare o los datos personales estuvieran comprometidos.
Nueva Gales del Sur ya está buscando incluir el certificado en su aplicación Service NSW, por lo que las personas podrán presentar el certificado cuando se registren con un código QR.
El ministro de servicio al cliente y digital de Nueva Gales del Sur, Victor Dominello, tuiteó el viernes que revelaría un prototipo de la actualización propuesta el lunes.
Estoy trabajando con el ministro Stuart Robert para que podamos brindarles a las personas la opción de integrar el certificado de vacuna en su aplicación ServiceNSW.
El lunes, les mostraré cómo podría verse el prototipo ????????
(3/3)– Victor Dominello MP (@VictorDominello) 2 de septiembre de 2021
Nelson dijo que Australia debería adoptar un sistema similar al utilizado en la Unión Europea, donde las personas tienen un código QR en su teléfono o en papel, que los restaurantes y otros lugares pueden escanear para asegurarse de que la persona esté vacunada.
Nelson fue uno de varios en la comunidad tecnológica que señaló fallas significativas en la aplicación Covidsafe de $ 7 millones del gobierno federal. Esta semana, la Agencia de Transformación Digital reveló que entregará la responsabilidad total de la aplicación al Departamento de Salud, ya que los nuevos documentos obtenidos por Canberra Times revelaron que los rastreadores de contactos encontraron la aplicación de rastreo de contactos difícil de usar.
El informe previamente redactado al gobierno por Abt Associates encontró que a pesar de que 7 millones de personas descargaron la aplicación a nivel nacional, incluidos alrededor de 2 millones en Victoria, solo el 15% de las personas que contrajeron Covid-19 en el estado durante la segunda ola del año pasado tenían la aplicación, y no se encontraron nuevos contactos cercanos.
Los rastreadores de contactos le dijeron a Abt Associates que los datos de la aplicación tenían demasiados falsos positivos y que era complicado obtener información para integrarlos en los métodos de rastreo de contactos existentes.
Desde su lanzamiento en abril de 2020, la aplicación solo ha identificado directamente 17 contactos cercanos en Nueva Gales del Sur que no se encuentran a través del rastreo manual de contactos.