De Ierse overheid heeft eind 2021 de vaccinatiegegevens van een miljoen personen gelekt. Het ging om volledige namen, vaccinatiedetails, waaronder redenen voor het toedienen of weigeren van het coronavaccin, het type coronavaccinatie en andere gegevens, die via het covidportaal van de Ierse overheid voor alle gebruikers toegankelijk waren. Hoewel het datalek zich ruim twee jaar geleden voordeed zijn details nu pas bekend geworden.

Door een misconfiguratie konden gebruikers ook data van andere gebruikers in het systeem opvragen. Het probleem werd gevonden door beveiligingsonderzoeker Aaron Costello, die de Ierse gezondheidszorg HSE waarschuwde. Het probleem werd dezelfde dag verholpen. Vervolgens ontstond er een lang proces over het openbaar maken van het datalek.

Daarbij stelt de onderzoeker dat de Ierse gezondheidszorg het probleem niet wilde openbaren. Daarop besloot hij zelf de details via een blogposting openbaar te maken. Costello deelde details al met Ierse media en TechCrunch. De blogposting zal vandaag online verschijnen. Volgens de HSE blijkt uit loggegevens dat er op de onderzoeker na geen ongeautoriseerde toegang heeft plaatsgevonden. Verder claimt de HSE dat er in dit geval geen sprake was van een datalek dat gemeld moest worden.

Update

De blogposting met details is inmiddels online gekomen. De misconfiguratie deed zich voor bij het instellen van Salesforce, waardoor profielen veel meer rechten kregen dan bedoeld en zo toegang tot de vaccinatiegegevens hadden.