近日,印度西孟加拉邦卫生福利部被曝800万份核酸检测结果报告泄露。事实上,上个月,BleepingComputer报道称,多个印度政府网站泄露了患者的核酸检测报告。事件分析本周,安全研究员SourajeetMajumder表示,他发现另一个印度政府网站泄露了数百万的核酸检测结果。研究人员发现,该网站存在执行问题,会导致特定州核酸检测人员的检测结果泄露。该报告包含敏感的个人信息,例如姓名、年龄、婚姻状况、测试时间和居住地址。这里的具体邦指的是印度西孟加拉邦。根据政府每天发布的公告数据,研究人员推断泄露的核酸检测报告数量约为800万份。Majumder指出,泄漏可以看到发送给测试人员的消息内容。文本中的URL结构导致获得base64编码的报告ID号(SRFID),如下所示:短信二维码/研究人员看到的包含核酸检测结果链接的短信BleepingComputer研究员,base64编码的报告编号可以解码成简单的数字形式,通过在URL中加减数字就可以看到别人的核酸检测结果。Majumder还指出,数字ID的base64编码是可选的,对提取报告没有影响。通过这种方式,研究人员证明,提取数百万患者的核酸检测结果非常简单:https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX1https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX1https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX2https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX3每份报告都有患者的姓名、年龄、性别、家庭住址、核酸检测结果、检测日期、报告编号、检测实验室位置信息等。研究人员提取的核酸检测结果示例。相关部门已修复该漏洞。之前可以读取核酸检测结果报告的网址返回了404错误。在北孟加拉邦监督COVID-19的卫生官员苏珊特·罗伊(SushantRoy)也承认了数据泄露事件。这不是第一次核酸检测结果被泄露。此前,由于许多实验室的二维码实现存在缺陷,攻击者可以通过枚举检测结果URL来窃取患者核酸检测结果。研究人员建议,在生成可公开访问的URL时,应添加不可猜测或随机的数据位,以便无法通过枚举获取信息。本文翻译自:https://www.bleepingcomputer.com/news/security/over-8-million-covid-19-test-results-leaked-online/如有转载请注明原文地址。
