The full report is in English and can be found here.
Key Findings
- Ang COVID-KAYA ay isang platform na ginagamit ng mga frontline healthcare workers sa Pilipinas para mangolekta at magbahagi ng mga kaso ng COVID-19 sa Kagawaran ng Kalusugan. Natagpuang nagtataglay ng mga kahinaan ang web at Android apps nito, na pinapayagan ang mga walang pahintulot na user na makuha ang pribadong datos tungkol sa mga gumagamit ng app, at maaring maging ang datos ng mga pasyente.
- Ang COVID-KAYA web app ay nagtataglay ng kahinaan sa authentication logic nito. Hinahayaan ang walang pahintulot na access sa API endpoints at inilalantad ang pangalan at lokasyon ng mga health center, gayun din ang mga pangalan ng mahigit 30,000 health care providers na nag-sign up para gamitin ang app. Kami ay nababahala (pero hindi namin nakumpirma) na maaaring magamit ng isang attacker ang kahinaan na ito para mailantad ang mga sensitibong datos ng mga pasyente.
- Ang COVID-KAYA Android app ay gumamit ng hardcoded API credentials na nagbigay ng access sa mga pangalan ng healthcare providers. Kami ay nababahala, pero hindi namin nakumpirma, na maaring magamit ng isang attacker ang mga kahinaang ito para ilantad ang mga sensitibong datos ng mga pasyente.
- Una naming ibinunyag an kahinaan ng web app sa mga gumawa ng app noong ika-18 ng Agosto 2020 at ang mga kahinaan ng Android app noong ika-14 ng Setyembre 2020. Noong ika-29 ng Oktubre 2020, natuklasan namin na ang mga isyung nabanggit ay natugunan na at ang mga nailantad na credentials ay napawalang-gana.
Thank you to Foundation for Media Alternatives for the translation.