印度800萬(wàn)核酸檢測(cè)結(jié)果泄露
2021年03月02日
近日,印度西孟加拉邦衛(wèi)生福利部被曝800萬(wàn)核酸檢測(cè)結(jié)果報(bào)告泄露��。而事實(shí)上���,上月BleepingComputer 就報(bào)道稱多個(gè)印度政府網(wǎng)站泄露了病人的核酸檢測(cè)報(bào)告��。
事件分析
本周�����,安全研究人員Sourajeet Majumder 稱他發(fā)現(xiàn)另外一個(gè)印度政府網(wǎng)站泄露了數(shù)百萬(wàn)核酸檢測(cè)結(jié)果�����。研究人員發(fā)現(xiàn)網(wǎng)站在實(shí)現(xiàn)上存在問(wèn)題���,會(huì)導(dǎo)致在特定州進(jìn)行核酸檢測(cè)的人員的測(cè)試結(jié)果泄露。報(bào)告中含有姓名�、年齡、婚姻狀況���、檢測(cè)時(shí)間����、居住地址等敏感個(gè)人信息�。這里的特定州指的就是印度西孟加拉邦。
根據(jù)政府每日公布的公告數(shù)據(jù)�,研究人員推斷泄露的核酸檢測(cè)報(bào)告數(shù)大約在800萬(wàn)。Majumder 指出����,泄露可以看到發(fā)送給測(cè)試者的消息的內(nèi)容。
文本中URL 的結(jié)構(gòu)導(dǎo)致可以獲取base64 編碼的報(bào)告的ID號(hào)碼(SRF ID)��,如下所示:
文本消息二維碼/研究人員看到的含有到核酸檢測(cè)結(jié)果的鏈接的文本消息
經(jīng)過(guò)BleepingComputer研究人員確認(rèn)���,base64編碼的報(bào)告號(hào)碼可以解碼為簡(jiǎn)單的數(shù)字形式��,通過(guò)在URL 中增加或減少數(shù)字就可以看到其他人的核酸檢測(cè)結(jié)果����。
Majumder 還注意到對(duì)數(shù)字id的base64編碼是可選的�����,而且對(duì)提取報(bào)告沒(méi)有任何影響。
通過(guò)這種方式��,研究人員證明了非常簡(jiǎn)單就可以提取出數(shù)百萬(wàn)病人的核酸檢測(cè)結(jié)果:
https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX1
https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX2
https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX3
每份報(bào)告中都有病人的姓名��、年齡���、性別�����、家庭地址�、核酸檢測(cè)結(jié)果�、檢測(cè)日期、報(bào)告號(hào)��、測(cè)試實(shí)驗(yàn)室的位置信息等����。
研究人員提取的核酸檢測(cè)結(jié)果示例
相關(guān)部門(mén)已修復(fù)該漏洞
之前可以讀取核酸檢測(cè)結(jié)果報(bào)告的URL目前已經(jīng)返回404 錯(cuò)誤。負(fù)責(zé)監(jiān)督North Bengal新冠疫情的健康官員 Sushant Roy也承認(rèn)了這一數(shù)據(jù)泄露事件��。
這也不是核酸檢測(cè)結(jié)果首次泄露��。之前就有多個(gè)實(shí)驗(yàn)室由于有漏洞的二維碼實(shí)現(xiàn)導(dǎo)致攻擊者可以通過(guò)枚舉測(cè)試結(jié)果URL 的方式來(lái)竊取病人核酸檢測(cè)結(jié)果���。
研究人員建議在生成公開(kāi)可訪問(wèn)的URL時(shí)��,應(yīng)加入不可猜測(cè)的或隨機(jī)的數(shù)據(jù)位來(lái)使得無(wú)法通過(guò)枚舉來(lái)獲取信息��。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://nblsxs.com/
免費(fèi)咨詢熱線:400-6776-989
