Утверждается, что платформа «Österreich testet», которая в основном используется аптеками, имеет огромные пробелы в сохранности данных. По данным epicenter.works, брешь предоставила доступ к идентификационным данным сотен тысяч человек.

Сообщается, что в работе платформы «Österreich testet» веб-сайта Министерства здравоохранения для организации тестов на Covid-19, существует огромная брешь в безопасности. Согласно совместному исследованию «ORF konkret» и НПО по защите данных «epicenter.works», авторизованная аптека имела доступ не только к проведённым ею тестам, но и ко всем данным всех тестов за последние семь дней.

Этот пробел позволил просматривать имя, адрес, номер социального страхования, номер телефона, адрес электронной почты и результаты тестов на коронавирус сотен тысяч людей по всей Австрии. По словам Томаса Лонингера, управляющего директора epicenter.works, было несколько миллионов записей данных.

Брешь в системе безопасности была обнаружена веб-разработчиком по заказу указанной аптеки, который немедленно задокументировал её и обратился в Министерство здравоохранения и ORF с просьбой о срочном исправлении. Программиста изначально проигнорировали, и только когда ORF обратился с запросом, последовала реакция. Аптека была исключена из «oesterreich-testet.at».

Министерство здравоохранения изначально отрицало существование бреши в системе безопасности и говорило о «незаконном использовании систем внутренней документации» отдельной аптекой, сообщает epicenter.works. Аптеки являются «единственными уполномоченными по защите данных» в рамках тестов, а Министерство здравоохранения ответственности не несёт. В министерстве также отметили, что на аптеки, как и на врачей, занимающихся частной практикой, «ложится юридическая обязанность соблюдать осторожность и хранить профессиональную тайну».

Лонингер резко раскритиковал такой подход. Вместо того, чтобы отблагодарить первооткрывателя уязвимости, Минздрав добился того, что он лишился работы. Веб-разработчик вёл себя «совершенно правильно». Он задокументировал уязвимость и сообщил ответственным, хотя знание об этом могло принести большие деньги. Помимо использования уязвимости для кражи личных данных, торговли данными или шантажа, информация о самой уязвимости могла быть продана.

Министр здравоохранения Мюкштайн (Зелёные) должен извиниться перед программистом и повысить ИТ-компетентность в своей сфере «как можно скорее», — потребовал Лонингер. Сайт управляется World Direct, дочерней компанией A1. Создание этой системы тестов на Covid-19 обошлось в полмиллиона евро, а министерство здравоохранения берёт за её работу впечатляющие 187 000 евро в месяц, что видно из ответа на парламентский запрос NEOS экс-министру здравоохранения Рудольфу Аншоберу (Зелёные ) около года назад. По словам Лонингера, с учётом этого выгодного государственного контракта кажется непонятным, почему система A1 не была подвергнута проверке безопасности (тесту на проникновение).