外媒報道稱,由於政府網站上存在的一個 Bug,印度西孟加拉邦居民的 COVID-19 實驗室檢測結果也被全面曝光。安全研究人員 Sourajeet Majumder 指出,盡管包含患者唯一檢測識別碼的鏈接已通過 base64 編碼進行打亂,但其他人還是可以通過在線工具來輕松轉換。
由 Bleeping Computer 分享的個人接收到的短信截圖示例可知,由於標識號是遞增排序的,因而知曉這一漏洞的任何人,都可以在瀏覽器地址欄上直接修改指向包含檢測結果的網頁鏈接。
作為西孟加拉邦政府推行的大規模新冠病毒檢測計劃的一部分,按照粗略估算,這一漏洞至少泄露了數十萬(甚至多達數百萬人)的 COVID-19 實驗室檢測結果。
檢測出結果後,政府會立即向民眾發送帶有網站鏈接的短信。
糟糕的是,除了 COVID-19 的檢測結果(陽性 / 隱性 / 存疑),報告中還包含了患者的姓名、性別、年齡、郵寄地址等信息。
Sourajeet Majumder 在接受采訪時稱,他很擔心惡意攻擊者會抓取網站數據並兜售牟利,於是選擇了立即向印度網絡安全響應機構 CERT 通報此事。
檢測報告示例(隱私細節已打碼)
官方在電子郵件中承認了該問題,並且聯系了西孟加拉邦政府的網站管理員,但遺憾後者沒有給出回應。
外媒嘗試與西孟加拉邦政府取得了聯系,官方表示將把該網站下線,但並未回應其它置評請求。
來源:cnBeta
