澳洲红十字会表示,其献血服务机构发现55万献血者登记资料外泄,第三方承包商人为失误是根本原因。挥之不去的问题是,没有人确切知道有多少人可以访问这些数据,这可以确定泄漏是如何打开的。该信息包括2010年至2016年的数据,于今年9月5日至10月5日在线发布。安全研究员TroyHunt表示,数据库备份文件由1.74GB的130万条记录组成,包含有关献血者的各种信息,例如姓名、性别、家庭住址、电子邮件地址、电话号码、出生日期、血型、出生日期、地点、以往献血记录等。澳大利亚红十字会在28日的事件道歉声明中表示,其血液服务部门在10月26日注意到献血者信息档案被放置在“不安全的环境”中由第三方-负责开发和维护血液服务网站的第三方。澳大利亚红十字会表示,该消息是由一名扫描安全漏洞的人发现的,然后通过中介通知澳大利亚网络紧急响应小组(AusCERT),血液服务中心是该小组的成员。“我们已经删除了数据库备份的所有已知副本,并修复了网站开发者服务器上的漏洞,”澳大利亚红十字会表示。该机构还聘请了一个专家小组对该事件进行法医分析,并成立了一个工作组来评估血液服务的监管和安全结构。亨特写道,25日上午,他收到某人的消息,称他在扫描互联网IP段以查找提供目录列表的公共Web服务器时,在血液服务网站donateblood.com.au上发现了这些数据。数据库备份发布在一个面向公众的网站上,服务器也打开了目录浏览。“服务器打开目录列表是一个众所周知的风险,没有理由这样做,尤其是在这起事件中。”特洛伊说他联系了AusCERT,后者随后联系了红十字会。
