新冠病毒肆虐近三年時(shí)間，仍沒(méi)有想要“放過(guò)”人類(lèi)的跡象，疫情不僅影響全球經(jīng)濟(jì)發(fā)展，社會(huì)正常運(yùn)轉(zhuǎn)，甚至成為網(wǎng)絡(luò)攻擊、勒索軟件快速增長(zhǎng)的溫床，“滋養(yǎng)”了一系列網(wǎng)絡(luò)安全問(wèn)題。

令人吃驚的是，新冠檢測(cè)信息這種高敏感數(shù)據(jù)躲過(guò)了黑客攻擊，卻因人為原因大規(guī)模泄露。實(shí)時(shí)篩出攜帶新冠病毒個(gè)體，可以有效阻隔疫情傳播，但檢測(cè)時(shí)需要收集大量民眾個(gè)人信息，存儲(chǔ)、監(jiān)管如此數(shù)量級(jí)的數(shù)據(jù)會(huì)存在很大安全風(fēng)險(xiǎn)，更不用說(shuō)，網(wǎng)絡(luò)犯罪分子早就盯上了核酸相關(guān)信息這塊香餑餑。

本文盤(pán)點(diǎn)一些典型新冠核酸檢測(cè)信息泄露事件 ，我們一起看看其中的“神操作”。

印度屢屢貢獻(xiàn)信息泄露的神操作

新冠疫情蔓延至印度后，使其成為了主要的“毒窩”，培育出諸如德?tīng)査缺姸嘧儺惗局?。面?duì)疫情，印度政府不僅沒(méi)有采取科學(xué)防疫措施，其新冠檢測(cè)數(shù)據(jù)更是頻頻泄露，甚至處于放任自流的狀態(tài)。

800 萬(wàn)份檢測(cè)報(bào)告數(shù)據(jù)在暗網(wǎng)出售

2021 年 3 月，安全研究人員 Sourajeet Majumder 稱其發(fā)現(xiàn)某印度政府網(wǎng)站泄露數(shù)百萬(wàn)民眾核酸檢測(cè)結(jié)果。隨著信息泄漏事件持續(xù)發(fā)酵，印度政府承認(rèn)了數(shù)據(jù)泄露事件，并表示泄露的核酸檢測(cè)報(bào)告大約有 800 萬(wàn)份。

經(jīng)安全專家分析研究，發(fā)現(xiàn)引起核酸數(shù)據(jù)泄露的原因是政府網(wǎng)站存在問(wèn)題，從而導(dǎo)致核酸檢測(cè)結(jié)果泄露。（泄露信息中含有姓名、年齡、婚姻狀況、檢測(cè)時(shí)間、居住地址等敏感個(gè)人信息）。

此次事件并非印度核酸檢測(cè)結(jié)果首次泄露，此前多個(gè)新冠病毒實(shí)驗(yàn)室采用了存在安全漏洞的二維碼，攻擊者可以通過(guò)枚舉測(cè)試結(jié)果 URL 的方式來(lái)竊取病人核酸檢測(cè)結(jié)果。

系統(tǒng)出現(xiàn)安全漏洞，引發(fā)數(shù)據(jù)泄漏，并不只發(fā)生在印度，但接下來(lái)提到的數(shù)據(jù)泄漏事件，只有“大英帝國(guó)的正統(tǒng)繼承人”，“廁所運(yùn)動(dòng)發(fā)起者”、“腸胃道戰(zhàn)士”，沒(méi)錯(cuò)，正是“印度三哥才能夠干出來(lái)。

數(shù)百萬(wàn)份檢測(cè)結(jié)果暴露，涉事機(jī)構(gòu)置若罔聞

機(jī)緣巧合之下，知名安全研究員 Anurag Sen 發(fā)現(xiàn)印度某家醫(yī)療軟件供應(yīng)商的 Elasticsearch 服務(wù)器暴露在互聯(lián)網(wǎng)上。

這種情況立刻引起了 Anurag 的重視，隨機(jī)對(duì)服務(wù)器進(jìn)行詳細(xì)分析，發(fā)現(xiàn)服務(wù)器暴露了23 GB 的 COVID 抗原檢測(cè)結(jié)果。這些數(shù)據(jù)信息及其詳盡，不僅包括個(gè)人記錄，還有往來(lái)印度人士的醫(yī)療記錄，其中身份信息主要是姓名、國(guó)籍、出生日期、完整地址、電話號(hào)碼、投票 ID 編號(hào)、COVID 測(cè)試結(jié)果、Aadhaar 醫(yī)保編號(hào)、護(hù)照編號(hào)、基礎(chǔ)疾病情況疫苗詳細(xì)情況等，涉及受害人數(shù)超過(guò) 170 萬(wàn)。

值得注意的是，其中還涉及一些美國(guó)、加拿大和印度公民。

Anurag 意識(shí)到事情的嚴(yán)重性，立刻聯(lián)系服務(wù)器運(yùn)營(yíng)公司。令人迷惑的是，本該迅速修補(bǔ)漏洞的醫(yī)療軟件提供商，一個(gè)多星期后也遲遲未做任何回應(yīng)。

目前該服務(wù)器仍然保持公開(kāi)，任何人員無(wú)需任何安全身份驗(yàn)證或密碼即可直接訪問(wèn)，是否有黑客已經(jīng)盯上并利用了這些數(shù)據(jù)仍不得而知，但可以確定的是，一旦網(wǎng)絡(luò)犯罪分子掌握這些信息，170 萬(wàn)民眾以及服務(wù)器所有方都將面臨嚴(yán)重網(wǎng)絡(luò)安全威脅。

印度作為互聯(lián)網(wǎng)世界永遠(yuǎn)的神，連”牛尿新冠特效藥“都能發(fā)明出來(lái)，無(wú)論發(fā)生什么稀奇古怪的事情也不會(huì)引起疑惑，但離譜到相關(guān)單位已經(jīng)收到了安全威脅預(yù)警，依舊選擇置若罔聞，將大量敏感數(shù)據(jù)信息”赤裸裸“暴露給網(wǎng)絡(luò)犯罪分子，完全展現(xiàn)其對(duì)民眾數(shù)據(jù)信息安全性的蔑視。

現(xiàn)階段，隨著萬(wàn)物互聯(lián)緊密度逐漸加深，勢(shì)必會(huì)產(chǎn)生海量數(shù)據(jù)信息，很難做到”絕對(duì)“安全，發(fā)生數(shù)據(jù)泄露也在所難免，但一定要有態(tài)度。若相關(guān)機(jī)構(gòu)發(fā)現(xiàn)數(shù)據(jù)泄露風(fēng)險(xiǎn)，置之不理，實(shí)難逃脫責(zé)任。

嚴(yán)謹(jǐn)?shù)摹暗牡氯胀瑯犹硬贿^(guò)數(shù)據(jù)泄漏

”喝清澈恒河水，吃干凈印度餅“，三哥作為中文互聯(lián)網(wǎng)群嘲老玩家，名場(chǎng)面實(shí)在太多，但下面”青島下水道“、”馬桶水干凈可飲“等故事背后主人公出現(xiàn)數(shù)據(jù)泄露，就很難理解了。

媒體披露，德國(guó)柏林?jǐn)?shù)個(gè)新冠病毒檢測(cè)站點(diǎn)的數(shù)據(jù)運(yùn)營(yíng)商因使用不安全的軟件解決方案，致使數(shù)十萬(wàn)人的數(shù)據(jù)信息泄露。

從調(diào)查結(jié)果來(lái)看，大約 20 萬(wàn)至 40 萬(wàn)人的數(shù)據(jù)受到影響，民眾的核酸檢測(cè)結(jié)果、姓名、電話、住址和電子郵箱等信息遭到泄露，部分人的身份證和護(hù)照信息也遭泄露。

相比較德國(guó)，日本數(shù)據(jù)泄漏帶來(lái)的影響相對(duì)較低。

埼玉縣政府官網(wǎng)上刊登了一份所有人可見(jiàn)的文件，記載了 191 名新冠患者的姓名、住址等信息，直到 5 個(gè)多小時(shí)后，經(jīng)外部人員指出才被刪除。在這段時(shí)間內(nèi)，該文件被閱覽了115次。

據(jù)悉，這件事情的根源是埼玉縣政府在公布上個(gè)月某天新增確診病例信息時(shí)，出現(xiàn)了失誤。一名政府雇員在修改時(shí)誤將當(dāng)日確診名單上傳至官網(wǎng)。通常情況下，上傳官網(wǎng)的名單要經(jīng)過(guò)處理，隱去患者的姓名，但由于該雇員糊涂地將處理前后兩種文件放在同一個(gè)文件夾，并誤選了原始的名單。

核酸信息數(shù)據(jù)泄漏帶來(lái)那些危害？

毋庸置疑，民眾核酸數(shù)據(jù)信息十分重要，核酸信息幾乎包含了民眾所有基礎(chǔ)個(gè)人信息，一旦落入不法分子手中將會(huì)帶來(lái)很大安全隱患，給生活帶來(lái)極其其惡劣的影響。以下整理了幾種常見(jiàn)數(shù)據(jù)泄露引發(fā)的安全問(wèn)題。

1. 垃圾短信、騷擾電話、垃圾郵件源源不斷：個(gè)人信息泄露后，民眾電子郵箱每天會(huì)收到大量垃圾郵件外，此外還會(huì)接到陌生人打來(lái)的推銷(xiāo)電話；

2. 詐騙電話持續(xù)轟炸：核酸信息中包含了很多民眾基礎(chǔ)信息，詐騙分子得到這些信息后，就會(huì)集中精力，相互配合，編造各種謊言，實(shí)施詐騙活動(dòng)。

3. 冒充公檢法要求受害者轉(zhuǎn)賬：一些膽大妄為的網(wǎng)絡(luò)犯罪分子甚至?xí)俺涔簿?、檢察院等權(quán)力部門(mén)，詳細(xì)說(shuō)出受害者個(gè)人信息，并繪聲繪色地描述近期詐騙案件，之后假意提醒銀行賬戶存在安全風(fēng)險(xiǎn)，需要轉(zhuǎn)入一個(gè)安全轉(zhuǎn)賬中，這時(shí)候迷迷糊糊的受害人就可能上當(dāng)了。

4. 案件事故：最糟糕的是，不法分子可能利用受害者個(gè)人信息，進(jìn)行違法犯罪活動(dòng)，受害者可能不明不白被警察傳喚或被法院傳票通知出庭。

隨著大數(shù)據(jù)技術(shù)不斷發(fā)展，再加上疫情對(duì)工作模式的改變，個(gè)人信息泄露事件層出不窮，愈演愈烈。民眾信息一旦泄漏，帶來(lái)的危害往往難以估量，輕則受到垃圾郵件、廣告短信的長(zhǎng)期騷擾，嚴(yán)重的會(huì)造成巨大經(jīng)濟(jì)損失。

核酸信息泄露亟待解決

核酸信息泄露，歸根結(jié)底還是民眾個(gè)人信息泄露，為何這些年信息泄露屢禁不止？小編認(rèn)為還是處罰力度的問(wèn)題，因此必須要完善頂層制度建設(shè)，加大對(duì)泄露和濫用個(gè)人信息的處罰力度，讓網(wǎng)絡(luò)犯罪分子付出沉重代價(jià)。

當(dāng)前，全球多個(gè)國(guó)家已經(jīng)紛紛頒布數(shù)據(jù)保護(hù)的相關(guān)法律法規(guī)，旨在對(duì)信息安全與隱私保護(hù)相關(guān)事項(xiàng)進(jìn)行規(guī)范與引導(dǎo)。例如中國(guó)頒布的《網(wǎng)絡(luò)安全法》和《個(gè)人信息保護(hù)法》、GB/T 35273個(gè)人信息保護(hù)條例，歐盟 GDPR 通用數(shù)據(jù)保護(hù)條例，美國(guó)加州 CCPA 隱私保護(hù)條例，美國(guó)內(nèi)華達(dá)州 SB220 數(shù)據(jù)隱私法，英國(guó)DPA2018 數(shù)據(jù)保護(hù)法等。此外，為了應(yīng)對(duì)越來(lái)越多信息泄露及信息濫用的現(xiàn)狀，國(guó)際標(biāo)準(zhǔn)化組織 ISO 也在信息安全、隱私安全、云安全等相關(guān)領(lǐng)域發(fā)布了諸多國(guó)際標(biāo)準(zhǔn)。

各個(gè)國(guó)家的法律法規(guī)明確了政府機(jī)關(guān)對(duì)數(shù)據(jù)信息的保護(hù)義務(wù)，是保護(hù)數(shù)據(jù)安全硬性要求，對(duì)數(shù)據(jù)所有者、數(shù)據(jù)處理者、數(shù)據(jù)監(jiān)管者起到了很大的震懾作用，但真正能夠最大程度地減緩數(shù)據(jù)泄漏還是需要加強(qiáng)數(shù)據(jù)安全意識(shí)培訓(xùn)。網(wǎng)絡(luò)安全意識(shí)教育能夠全面提升社會(huì)民眾的安全意識(shí)與安全防護(hù)能力，從而側(cè)面地推動(dòng)企業(yè)機(jī)構(gòu)重視數(shù)據(jù)保護(hù)，從根本上杜絕數(shù)據(jù)泄露。

寫(xiě)在最后

新冠檢測(cè)有助于更好地篩選出陽(yáng)性病人，從而阻斷疫情傳播，但存在的信息安全隱患同樣不可忽視。核酸信息往往會(huì)包含民眾姓名、電話號(hào)碼、工作和家庭地址以及身份證號(hào)碼基礎(chǔ)信息。一旦核酸信息泄露，民眾就幾乎”裸奔了“，給其工作生活增加許多障礙。

核酸信息這種高敏感信息尚且會(huì)泄露，其它信息數(shù)據(jù)就更難保證安全性，數(shù)據(jù)信息保護(hù)已經(jīng)來(lái)到不得不做的時(shí)刻，各國(guó)政府應(yīng)更加細(xì)化法律法規(guī)，規(guī)范信息收集、存儲(chǔ)、使用各個(gè)環(huán)節(jié)，對(duì)造成個(gè)人信息泄露的單位負(fù)責(zé)人或相關(guān)人員，依法進(jìn)行嚴(yán)肅處理，以儆效尤。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<