印度州政府网站暴露了Covid-19实验室测试结果

2021-03-07 09:38:02

该网站是西孟加拉邦政府大众冠状病毒检测计划的一部分。一旦CoVID-19测试结果准备就绪,政府向患者向患者发出短信,其网站包含其测试结果。

但安全研究员Sourajeet Majumder发现,包含患者唯一测试识别码的链接用Base64编码扰乱,可以使用在线工具轻松转换。由于识别号码逐渐测序,因此网站错误意味着任何人都可以在浏览器的地址栏中更改该号码并查看其他患者的测试结果。

测试结果包含患者的姓名,性别,年龄,邮政地址,以及患者的实验室测试结果是否回到积极,负面或不确定的Covid-19。

Majumder告诉TechCrunch,他担心恶意攻击者可以刮网站并销售数据。 “如果其他人可以访问我的私人信息,这是一个隐私违规行为,”他说。

Majumder报道了该国专门的网络安全响应单位对印度证书的脆弱性,该公司在电子邮件中承认了该问题。他还联系了西孟加拉邦政府的网站经理,没有回应。 TechCrunch独立证实了这一脆弱性,也达到了西孟加拉邦政府,将网站脱机,但没有退回我们的评论请求。

TechCrunch持有我们的报告,直到漏洞已修复或不再呈现风险。在出版时,受影响的网站仍然脱机。

由于这种安全失误,或者如果除博马德以外的任何人发现漏洞,则尚未知道有多少Covid-19实验室结果。当时网站在2月底脱机时,州政府已经测试了850多万居民的Covid-19。

西孟加拉邦是印度最具群体的国家之一,约有9000万居民。 自大流行开始以来,州政府录得10,000多名冠状病毒死亡。 这是过去几个月几个月的最新的安全事件才能袭击印度及其对冠状病毒大流行的反应。 去年5月,印度最大的细胞网络jio承认安全研究人员发现一个包含公司冠状病毒症状检查器的数据库,jio在几个月前发布了几个月。 10月,一个安全研究员发现LAL PATHLABS博士留下了数百个包含数百万患者预订记录的电子表格 - 包括COVID-19测试 - 在没有密码的公共存储服务器上,允许任何人访问敏感的患者数据。 将提示牢固地发送到信号和WhatsApp到+1 646-755-8849。 您还可以使用SecuredRop发送文件或文档。