2021年03月02日
近日,印度西孟加拉邦衛(wèi)生福利部被曝800萬(wàn)核酸檢測(cè)結(jié)果報(bào)告泄露。而事實(shí)上,上月BleepingComputer 就報(bào)道稱多個(gè)印度政府網(wǎng)站泄露了病人的核酸檢測(cè)報(bào)告。
事件分析
本周,安全研究人員Sourajeet Majumder 稱他發(fā)現(xiàn)另外一個(gè)印度政府網(wǎng)站泄露了數(shù)百萬(wàn)核酸檢測(cè)結(jié)果。研究人員發(fā)現(xiàn)網(wǎng)站在實(shí)現(xiàn)上存在問(wèn)題,會(huì)導(dǎo)致在特定州進(jìn)行核酸檢測(cè)的人員的測(cè)試結(jié)果泄露。報(bào)告中含有姓名、年齡、婚姻狀況、檢測(cè)時(shí)間、居住地址等敏感個(gè)人信息。這里的特定州指的就是印度西孟加拉邦。
根據(jù)政府每日公布的公告數(shù)據(jù),研究人員推斷泄露的核酸檢測(cè)報(bào)告數(shù)大約在800萬(wàn)。Majumder 指出,泄露可以看到發(fā)送給測(cè)試者的消息的內(nèi)容。
文本中URL 的結(jié)構(gòu)導(dǎo)致可以獲取base64 編碼的報(bào)告的ID號(hào)碼(SRF ID),如下所示:
文本消息二維碼/研究人員看到的含有到核酸檢測(cè)結(jié)果的鏈接的文本消息
經(jīng)過(guò)BleepingComputer研究人員確認(rèn),base64編碼的報(bào)告號(hào)碼可以解碼為簡(jiǎn)單的數(shù)字形式,通過(guò)在URL 中增加或減少數(shù)字就可以看到其他人的核酸檢測(cè)結(jié)果。
Majumder 還注意到對(duì)數(shù)字id的base64編碼是可選的,而且對(duì)提取報(bào)告沒(méi)有任何影響。
通過(guò)這種方式,研究人員證明了非常簡(jiǎn)單就可以提取出數(shù)百萬(wàn)病人的核酸檢測(cè)結(jié)果:
https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX1
https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX2
https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX3
每份報(bào)告中都有病人的姓名、年齡、性別、家庭地址、核酸檢測(cè)結(jié)果、檢測(cè)日期、報(bào)告號(hào)、測(cè)試實(shí)驗(yàn)室的位置信息等。
研究人員提取的核酸檢測(cè)結(jié)果示例
相關(guān)部門(mén)已修復(fù)該漏洞
之前可以讀取核酸檢測(cè)結(jié)果報(bào)告的URL目前已經(jīng)返回404 錯(cuò)誤。負(fù)責(zé)監(jiān)督North Bengal新冠疫情的健康官員 Sushant Roy也承認(rèn)了這一數(shù)據(jù)泄露事件。
這也不是核酸檢測(cè)結(jié)果首次泄露。之前就有多個(gè)實(shí)驗(yàn)室由于有漏洞的二維碼實(shí)現(xiàn)導(dǎo)致攻擊者可以通過(guò)枚舉測(cè)試結(jié)果URL 的方式來(lái)竊取病人核酸檢測(cè)結(jié)果。
研究人員建議在生成公開(kāi)可訪問(wèn)的URL時(shí),應(yīng)加入不可猜測(cè)的或隨機(jī)的數(shù)據(jù)位來(lái)使得無(wú)法通過(guò)枚舉來(lái)獲取信息。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://nblsxs.com/
免費(fèi)咨詢熱線:400-6776-989