新冠病毒肆虐近三年时间,仍没有想要“放过”人类的迹象,疫情不仅影响全球经济发展,社会正常运转,甚至成为网络攻击、勒索软件快速增长的温床,”滋养“了一系列网络安全问题。
令人吃惊的是,新冠检测信息这种高敏感数据躲过了黑客攻击,却因人为原因大规模泄露。实时筛出携带新冠病毒个体,可以有效阻隔疫情传播,但检测时需要收集大量民众个人信息,存储、监管如此数量级的数据会存在很大安全风险,更不用说,网络犯罪分子早就盯上了核酸相关信息这块香饽饽。
本文盘点一些典型新冠核酸检测信息泄露事件 ,我们一起看看其中的“神操作”。
2021 年 3 月,安全研究人员 Sourajeet Majumder 称其发现某印度政府网站泄露数百万民众核酸检测结果。随着信息泄漏事件持续发酵,印度政府承认了数据泄露事件,并表示泄露的核酸检测报告大约有 800 万份。
经安全专家分析研究,发现引起核酸数据泄露的原因是政府网站存在问题,从而导致核酸检测结果泄露。(泄露信息中含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息)。
此次事件并非印度核酸检测结果首次泄露,此前多个新冠病毒实验室采用了存在安全漏洞的二维码,攻击者可以通过枚举测试结果 URL 的方式来窃取病人核酸检测结果。
系统出现安全漏洞,引发数据泄漏,并不只发生在印度,但接下来提到的数据泄漏事件,只有“大英帝国的正统继承人”,“厕所运动发起者”、“肠胃道战士”,没错,正是”印度三哥才能够干出来。
机缘巧合之下,知名安全研究员 Anurag Sen 发现印度某家医疗软件供应商的 Elasticsearch 服务器暴露在互联网上。
这种情况立刻引起了 Anurag 的重视,随机对服务器进行详细分析,发现服务器暴露了23 GB 的 COVID 抗原检测结果。这些数据信息及其详尽,不仅包括个人记录,还有往来印度人士的医疗记录,其中身份信息主要是姓名、国籍、出生日期、完整地址、电话号码、投票 ID 编号、COVID 测试结果、Aadhaar 医保编号、护照编号、基础疾病情况疫苗详细情况等,涉及受害人数超过 170 万。
值得注意的是,其中还涉及一些美国、加拿大和印度公民。
Anurag 意识到事情的严重性,立刻联系服务器运营公司。令人迷惑的是,本该迅速修补漏洞的医疗软件提供商,一个多星期后也迟迟未做任何回应。
目前该服务器仍然保持公开,任何人员无需任何安全身份验证或密码即可直接访问,是否有黑客已经盯上并利用了这些数据仍不得而知,但可以确定的是,一旦网络犯罪分子掌握这些信息,170 万民众以及服务器所有方都将面临严重网络安全威胁。
印度作为互联网世界永远的神,连”牛尿新冠特效药“都能发明出来,无论发生什么稀奇古怪的事情也不会引起疑惑,但离谱到相关单位已经收到了安全威胁预警,依旧选择置若罔闻,将大量敏感数据信息”赤裸裸“暴露给网络犯罪分子,完全展现其对民众数据信息安全性的蔑视。
现阶段,随着万物互联紧密度逐渐加深,势必会产生海量数据信息,很难做到”绝对“安全,发生数据泄露也在所难免,但一定要有态度。若相关机构发现数据泄露风险,置之不理,实难逃脱责任。
“严谨的”的德日同样逃不过数据泄漏
“喝清澈恒河水,吃干净印度饼“,三哥作为中文互联网群嘲老玩家,名场面实在太多,但下面”青岛下水道”、“马桶水干净可饮”等故事背后主人公出现数据泄露,就很难理解了。
媒体披露,德国柏林数个新冠病毒检测站点的数据运营商因使用不安全的软件解决方案,致使数十万人的数据信息泄露。
从调查结果来看,大约 20 万至 40 万人的数据受到影响,民众的核酸检测结果、姓名、电话、住址和电子邮箱等信息遭到泄露,部分人的身份证和护照信息也遭泄露。
相比较德国,日本数据泄漏带来的影响相对较低。
埼玉县政府官网上刊登了一份所有人可见的文件,记载了 191 名新冠患者的姓名、住址等信息,直到 5 个多小时后,经外部人员指出才被删除。在这段时间内,该文件被阅览了115次。
据悉,这件事情的根源是埼玉县政府在公布上个月某天新增确诊病例信息时,出现了失误。一名政府雇员在修改时误将当日确诊名单上传至官网。通常情况下,上传官网的名单要经过处理,隐去患者的姓名,但由于该雇员糊涂地将处理前后两种文件放在同一个文件夹,并误选了原始的名单。
1. 垃圾短信、骚扰电话、垃圾邮件源源不断:个人信息泄露后,民众电子邮箱每天会收到大量垃圾邮件外,此外还会接到陌生人打来的推销电话;
2. 诈骗电话持续轰炸:核酸信息中包含了很多民众基础信息,诈骗分子得到这些信息后,就会集中精力,相互配合,编造各种谎言,实施诈骗活动。
3. 冒充公检法要求受害者转账:一些胆大妄为的网络犯罪分子甚至会冒充公安局、检察院等权力部门,详细说出受害者个人信息,并绘声绘色地描述近期诈骗案件,之后假意提醒银行账户存在安全风险,需要转入一个安全转账中,这时候迷迷糊糊的受害人就可能上当了。
4. 案件事故:最糟糕的是,不法分子可能利用受害者个人信息,进行违法犯罪活动,受害者可能不明不白被警察传唤或被法院传票通知出庭。
随着大数据技术不断发展,再加上疫情对工作模式的改变,个人信息泄露事件层出不穷,愈演愈烈。民众信息一旦泄漏,带来的危害往往难以估量,轻则受到垃圾邮件、广告短信的长期骚扰,严重的会造成巨大经济损失。
当前,全球多个国家已经纷纷颁布数据保护的相关法律法规,旨在对信息安全与隐私保护相关事项进行规范与引导。例如中国颁布的《网络安全法》和《个人信息保护法》、GB/T 35273个人信息保护条例,欧盟 GDPR 通用数据保护条例,美国加州 CCPA 隐私保护条例,美国内华达州 SB220 数据隐私法,英国DPA2018 数据保护法等。此外,为了应对越来越多信息泄露及信息滥用的现状,国际标准化组织 ISO 也在信息安全、隐私安全、云安全等相关领域发布了诸多国际标准。
各个国家的法律法规明确了政府机关对数据信息的保护义务,是保护数据安全硬性要求,对数据所有者、数据处理者、数据监管者起到了很大的震慑作用,但真正能够最大程度地减缓数据泄漏还是需要加强数据安全意识培训。网络安全意识教育能够全面提升社会民众的安全意识与安全防护能力,从而侧面地推动企业机构重视数据保护,从根本上杜绝数据泄露。
核酸信息这种高敏感信息尚且会泄露,其它信息数据就更难保证安全性,数据信息保护已经来到不得不做的时刻,各国政府应更加细化法律法规,规范信息收集、存储、使用各个环节,对造成个人信息泄露的单位负责人或相关人员,依法进行严肃处理,以儆效尤。
精彩推荐