亚洲高清毛片一区二区,,,,,,,

印度800萬(wàn)核酸檢測(cè)結(jié)果泄露

2021年03月02日

近日,印度西孟加拉邦衛(wèi)生福利部被曝800萬(wàn)核酸檢測(cè)結(jié)果報(bào)告泄露。而事實(shí)上,上月BleepingComputer 就報(bào)道稱多個(gè)印度政府網(wǎng)站泄露了病人的核酸檢測(cè)報(bào)告。


事件分析


本周,安全研究人員Sourajeet Majumder 稱他發(fā)現(xiàn)另外一個(gè)印度政府網(wǎng)站泄露了數(shù)百萬(wàn)核酸檢測(cè)結(jié)果。研究人員發(fā)現(xiàn)網(wǎng)站在實(shí)現(xiàn)上存在問(wèn)題,會(huì)導(dǎo)致在特定州進(jìn)行核酸檢測(cè)的人員的測(cè)試結(jié)果泄露。報(bào)告中含有姓名、年齡、婚姻狀況、檢測(cè)時(shí)間、居住地址等敏感個(gè)人信息。這里的特定州指的就是印度西孟加拉邦。


根據(jù)政府每日公布的公告數(shù)據(jù),研究人員推斷泄露的核酸檢測(cè)報(bào)告數(shù)大約在800萬(wàn)。Majumder 指出,泄露可以看到發(fā)送給測(cè)試者的消息的內(nèi)容。


文本中URL 的結(jié)構(gòu)導(dǎo)致可以獲取base64 編碼的報(bào)告的ID號(hào)碼(SRF ID),如下所示:


微信圖片_20210302164539.png

文本消息二維碼/研究人員看到的含有到核酸檢測(cè)結(jié)果的鏈接的文本消息


經(jīng)過(guò)BleepingComputer研究人員確認(rèn),base64編碼的報(bào)告號(hào)碼可以解碼為簡(jiǎn)單的數(shù)字形式,通過(guò)在URL 中增加或減少數(shù)字就可以看到其他人的核酸檢測(cè)結(jié)果。


Majumder 還注意到對(duì)數(shù)字id的base64編碼是可選的,而且對(duì)提取報(bào)告沒(méi)有任何影響。


通過(guò)這種方式,研究人員證明了非常簡(jiǎn)單就可以提取出數(shù)百萬(wàn)病人的核酸檢測(cè)結(jié)果:


https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX1

https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX2

https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX3


每份報(bào)告中都有病人的姓名、年齡、性別、家庭地址、核酸檢測(cè)結(jié)果、檢測(cè)日期、報(bào)告號(hào)、測(cè)試實(shí)驗(yàn)室的位置信息等。


微信圖片_20210302164527.png

研究人員提取的核酸檢測(cè)結(jié)果示例


相關(guān)部門(mén)已修復(fù)該漏洞


之前可以讀取核酸檢測(cè)結(jié)果報(bào)告的URL目前已經(jīng)返回404 錯(cuò)誤。負(fù)責(zé)監(jiān)督North Bengal新冠疫情的健康官員 Sushant Roy也承認(rèn)了這一數(shù)據(jù)泄露事件。


這也不是核酸檢測(cè)結(jié)果首次泄露。之前就有多個(gè)實(shí)驗(yàn)室由于有漏洞的二維碼實(shí)現(xiàn)導(dǎo)致攻擊者可以通過(guò)枚舉測(cè)試結(jié)果URL 的方式來(lái)竊取病人核酸檢測(cè)結(jié)果。


研究人員建議在生成公開(kāi)可訪問(wèn)的URL時(shí),應(yīng)加入不可猜測(cè)的或隨機(jī)的數(shù)據(jù)位來(lái)使得無(wú)法通過(guò)枚舉來(lái)獲取信息。



江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界

為IT提升價(jià)值


http://nblsxs.com/

免費(fèi)咨詢熱線:400-6776-989

5fd036aa2f71f.jpg


江蘇國(guó)駿信息科技有限公司 蘇ICP備17037372號(hào)-2 電話:400-6776-989; 0516-83887908 郵箱:manager@jsgjxx.com