Covid-tester kan läcka personuppgifter

Alexandre Bartel, professor för WASP vid instiutionen för datavetenskap, Umeåuniversitet. Alexandre sitter framför en laptop i café-miljö.

Under förra året genomfördes över 14 miljoner PCR-tester för att påvisa covid-19 i Sverige. Forskare vid Umeå universitet har upptäckt att personuppgifter kan ha läckts av de privata företag som hanterar testerna.
– Det här är något som kan ha påverkat tusentals svenskar, säger Alexandre Bartel, WASP-professor och ledare för forskargruppen Software Engineering and Security, institutionen för datavetenskap, Umeå universitet.

När du tar ett PCR-test sparas dina testintyg och därmed dina personuppgifter hos privata företag. Alexandre Bartel och hans forskargrupp har upptäckt en kritisk säkerhetsbrist hos ett av de företag som hanterar intygen i Sveriges största städer.
– Genom att tvinga servern att köras i ett oväntat tillstånd kunde jag få tillgång till personlig information, allt från namn och personnummer till var testet utfördes samt vad resultatet blev, säger Alexandre Bartel.

Eftersom dessa privata företag inte kommunicerar hur många tester de hanterar är det fortfarande oklart hur många personer som kan drabbas av en sådan sårbarhet.

När Alexandre Bartel upptäckte problemet i juli 2021 kontaktade han omedelbart företaget. Med hans hjälp kunde företaget – som vill vara anonymt – snabbt hitta och åtgärda svagheten inom 24 timmar.
– Företaget hävdar att de kunde kontrollera att ingen läcka av data eller personlig information hade skett. De var mycket tacksamma och samtidigt har de nu insett att även om de vet att en hög säkerhetsnivå är avgörande för att hantera den här typen av information, så är en djupgående utvärdering av hela programvarusystemets säkerhet ett måste. Företaget säger även att de välkomnar ett framtida samarbete med Umeå universitet i detta område, säger Alexandre Bartel.

Hälsorelaterade data i riskzonen?

Att dina personuppgifter hanteras på ett säkert sätt vid sjukdom och testning är för de flesta en självklarhet. I praktiken kan dessa uppgifter delas och/eller lagras mellan flera institutioner eller företag, vilket ökar risken för angrepp. Om en angripare hittar en sårbarhet i den svagaste länken kan uppgifterna exponeras.
– En anledning till att problem med dataläckage kan uppstå är att de företag som hanterar uppgifterna endast behöver följa svensk lagstiftning och uppfylla en lista med krav, säger Alexandre Bartel.

Tyvärr innebär det faktum att ett system uppfyller en lista med krav inte att det är säkert. Dessutom är det ännu inte obligatoriskt med någon granskning av det verkliga systemet, inklusive dess programvarupaket. Konfigurations- eller implementeringsbrister kan därför passera under radarn.
– Alla företag utvecklar sina egna system eller köper en licens för ett sådant. Detta innebär att liknande problem kan finnas i flera andra företag”, fortsätter Alexandre.

Säkerhet i ett tidigt skede

Det finns två huvudaspekter på säkerhetsproblem. Den första är dataläckage, där en extern part kan se och få tillgång till personuppgifter och liknande. Den andra är när en extern aktör kan ta sig in i ett system och manipulera data. Genom att bygga system med säkerhet i åtanke från början samt låta en tredje part utvärdera systemet kan läckage och andra attacker minimeras, vilket är särskilt viktigt om det handlar om personuppgifter.
– Tyvärr tänker de flesta på säkerheten alldeles för sent. Det ses främst som en kostnad, dessutom är fördelarna med en hög säkerhet ofta osynliga. Om ett system är säkert, så uppstår inga problem, säger Alexandre Bartel.

Alexandre Bartel och hans forskargrupp på Institutionen för datavetenskap arbetar bland annat med att utveckla programvaruverktyg som kan hitta svagheter automatiskt och på så sätt minimera dataläckage och risken för attacker. Ett av målen är att minska den tid och de beräkningsresurser som krävs.

Forskningen finansieras av WASP – Sveriges största individuella forskningsprogram och utgör en plattform för akademisk forskning och utbildning.

Läs mer om forskningen:

Programvaruteknik & säkerhet

För mer information kontakta gärna:

Alexandre Bartel, Institutionen för datavetenskap
Telefon: 090-786 74 42, 072-208 73 56
E-post: alexandre.bartel@umu.se