印度多个政府部门网站,包括国家卫生和福利局,在线泄露了数千名患者的COVID-19实验室检测结果.这些泄露的实验室报告被搜索引擎索引,暴露了患者的数据以及他们是否对冠状病毒检测呈阳性。可以在谷歌上找到COVID-19实验室测试报告本周,研究人员在网上搜索获取COVID-19测试结果的方法时,偶然发现了数千名患者疑似泄露的COVID-19测试结果。据BleepingComputer观察,这些出现在谷歌上的PDF报告托管在属于位于印度首都新德里的各个政府机构的*.gov.in和*.nic.in域中。每个PDF文件包含数百条接受RT-PCR检测的患者记录,并泄露以下信息:患者姓名;年龄或出生日期;诊所表格(SRF)ID;测试日期;有关进行测试的医院和医生的信息;患者的SARS-CoV-2病毒检测结果是阳性还是阴性;20名患者的COVID-19检测结果。虽然大多数实验室测试报告的日期在2020年11月至2021年1月之间,但BleepingComputer还观察到2020年4月或更早的报告,这些报告是政府机构泄露报告的一部分。除了摘要表外,某些文件还包含个别患者实验室测试报告的完整扫描表。一些PDF文件还包含每位患者的实验室测试报告。BleepingComputer分析的几个PDF中包含的患者记录总数总计超过1,500条。我们估计有更多的患者记录被泄露。政府要求测试实验室提供“测试、追踪、隔离”数据作为印度正在进行的“测试、追踪、隔离和治疗”工作的一部分,印度的公共和私人COVID-19测试实验室都必须提交每个RT-PCR报告测试结果。为了成功实施测试-追踪-隔离流程,政府通常要求实验室将患者测试结果发送给相关政府机构。此外,该实验室还将数据上传到印度医学研究委员会(ICMR)的门户网站,其中记录了在印度进行的每一次RT-PCR测试。到目前为止,每份泄露的COVID-19测试报告,即使来自托管在不同政府域的计算机,都具有相同的URL结构。根据URL的结构,这些PDF文件似乎托管在同一CMS系统上,印度政府办公室使用该系统发布可公开访问的文件,例如工作面试通知、商业招标公告等。很可能将这些COVID-19测试报告上传到CMS的员工这样做是为了在内部共享它们,而没有意识到它们是通过可公开访问的系统无意中共享的。在发现泄漏并核实其来源后,BleepingComputer立即联系了相关方,包括多个德里政府办公室、国家信息中心(NIC)、数字印度和印度CERT。COVID-19在线测试验证系统通常是有限的印度的几个州已经启动了门户网站,允许政府部门和医疗保健专业人员共享数据,并使用SRFID轻松地在线验证COVID-19报告的真实性。然而,这些制度在公众眼中是有限的。此外,这些门户网站使用验证码进行保护,并需要额外的验证参数,例如授权医护人员的注册电话号码,以显示测试结果。用于披露COVID-19结果的政府系统通常仅限于授权人员。该措施既限制了参与测试-跟踪-隔离计划的少数各方的数据访问,又使机场工作人员等当局能够轻松区分真假COVID-19测试报告。在任何情况下都不应向公众展示患者的COVID-19检测结果或将其用于大规模网络搜索。尽管泄漏源于印度政府网站,但由于二维码的不安全实施,一些私人实验室可能已经泄漏了COVID-19测试报告。本文翻译自:https://www.bleepingcomputer.com/news/security/indian-government-sites-leaking-patient-covid-19-test-results/如有转载请注明原文地址。
