导语:澳大利亚公民向红十字会血液服务机构献血的100多万条个人记录和医疗记录被泄露在网上,这是该国迄今为止最大规模且最具破坏性的数据泄露。

澳大利亚公民向红十字会血液服务机构献血的100多万条个人记录和医疗记录被泄露在网上,这是该国迄今为止最大规模且最具破坏性的数据泄露。

在本周二早上,一份匿名来源的泄漏文档被公布到了网上,并发送给了安全专家Troy Hunt所管理的haveibeenpwned.com。这个1.74 GB的文档包含了128万条捐助者的记录数据(其中最早的数据可以追溯到2010年)。这个数据库是通过对IP地址范围内的网络服务器进行扫描时现的,目录列表里包含了.sql文件。

大量个人敏感数据泄露

这个导出的数据库备份的内容包含了所有的个人详细信息(姓名,性别,身体和电子邮件地址,电话号码,出生日期,偶尔血型和出生国家)以及敏感的医疗信息,例如是否有人在过去一年中从事过具有风险的性行为。

这个数据库收集了个人预约捐血的信息—— 无论是纸面上的还是线上的预约信息。该流程要求捐助者输入其个人详细信息并填写资格调查表。这其中不包含关于血液报告或分析的数据,或对所有的捐献者调查问卷的回答(这份问卷是所有血库访问者在捐献时必须填写的)。

这个数据库被发布在红十字会血液服务技术合作伙伴的网络服务器上,这是个由合作伙伴维护服务的服务器,而不是存储在该组织的网站(www.donate.blood.com.au)的服务器中。

Troy Hunt告诉iTnews,

这是一个极其严重的错误—— 这本不应该发生的。没有任何的理由将数据库备份传到面向公众的网站上,另外由于在服务器上启用了目录浏览,从而使得这个问题变得更加的复杂。

该文档在本周三已被删除。这个血液服务机构表示,在2016年9月5日至2016年10月25日间任何人都能下载该泄漏文件。Troy Hunt称,没有证据能够表明该文件曾经被人下载过。他和匿名提交者都已经删除了该泄漏数据的副本。

澳大利亚的计算机应急响应团队AusCERT在本周二从Troy Hunt得知了此次数据泄露的事件后,便与红十字会展开排查合作。

人为原因导致55万用户信息泄露

红十字会表示约有55万个捐助者受到了影响。他们把这个问题归因于“人为过失”,并声称对于捐助者的数据遭到泄露“深感抱歉”。该服务机构今天已开始对受影响的捐助者发出通知了。

红十字会血液服务机构首席执行官Shelly Park表示,“我们对让我们的捐助者处在这种境地感到非常遗憾且极其抱歉。我想向我们所有的捐助者保证,我们现在所做的一切都是为了纠正这个问题,同时我们将以我们的立场保证,这样的事件将永远不会再发生。”

此次这些数据的总量是澳大利亚有史以来最大规模的个人数据泄露,远远超过了类似的数据泄露事件,比如Kmart,David Jones,Aussie Farmers Direct和Catch of theDay。这也是澳大利亚公民的敏感医疗详细信息第一次大规模的泄漏在网上。

然而,Troy Hunt表示,他不希望这次的数据泄露事件影响了人们捐献血液的积极性,因为这很有可能会影响澳大利亚的至关重要的血液供应。他告诉iTnews,“更为重要的是,这可是救命的东西啊。”

我已经通过在血液服务机构的网站上挂号预约了星期一去献血,同时我也输入了我所有的合法信息,我希望试着以此来鼓励人们也去捐赠血液。

隐私专员Timothy Pilgrim表示他将对此次数据泄露事件进行调查,并将把调查结果公布出来。他在一份声明中表示,“我很希望[红十字会]迅速采取行动,以防止任何这种高度敏感的个人信息进一步被曝光。”

“我很鼓励大家自愿自觉地告发数据泄露事件,特别是在由于数据泄露会对个人产生风险的情况下更应如此。这是良好的隐私惯例,因为它使每个人有机会采取积极措施保护他们的个人信息。同时这也是通过显示透明度来保护一个组织的声誉。”

源链接

Hacking more

...