印度800萬核酸檢測結(jié)果泄露
2021年03月02日
近日,印度西孟加拉邦衛(wèi)生福利部被曝800萬核酸檢測結(jié)果報告泄露��。而事實上����,上月BleepingComputer 就報道稱多個印度政府網(wǎng)站泄露了病人的核酸檢測報告。
事件分析
本周��,安全研究人員Sourajeet Majumder 稱他發(fā)現(xiàn)另外一個印度政府網(wǎng)站泄露了數(shù)百萬核酸檢測結(jié)果�����。研究人員發(fā)現(xiàn)網(wǎng)站在實現(xiàn)上存在問題��,會導(dǎo)致在特定州進(jìn)行核酸檢測的人員的測試結(jié)果泄露���。報告中含有姓名�、年齡�����、婚姻狀況、檢測時間���、居住地址等敏感個人信息�。這里的特定州指的就是印度西孟加拉邦���。
根據(jù)政府每日公布的公告數(shù)據(jù)��,研究人員推斷泄露的核酸檢測報告數(shù)大約在800萬。Majumder 指出�����,泄露可以看到發(fā)送給測試者的消息的內(nèi)容�。
文本中URL 的結(jié)構(gòu)導(dǎo)致可以獲取base64 編碼的報告的ID號碼(SRF ID),如下所示:
文本消息二維碼/研究人員看到的含有到核酸檢測結(jié)果的鏈接的文本消息
經(jīng)過BleepingComputer研究人員確認(rèn)��,base64編碼的報告號碼可以解碼為簡單的數(shù)字形式����,通過在URL 中增加或減少數(shù)字就可以看到其他人的核酸檢測結(jié)果。
Majumder 還注意到對數(shù)字id的base64編碼是可選的����,而且對提取報告沒有任何影響��。
通過這種方式����,研究人員證明了非常簡單就可以提取出數(shù)百萬病人的核酸檢測結(jié)果:
https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX1
https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX2
https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX3
每份報告中都有病人的姓名��、年齡����、性別、家庭地址����、核酸檢測結(jié)果、檢測日期����、報告號、測試實驗室的位置信息等����。
研究人員提取的核酸檢測結(jié)果示例
相關(guān)部門已修復(fù)該漏洞
之前可以讀取核酸檢測結(jié)果報告的URL目前已經(jīng)返回404 錯誤。負(fù)責(zé)監(jiān)督North Bengal新冠疫情的健康官員 Sushant Roy也承認(rèn)了這一數(shù)據(jù)泄露事件���。
這也不是核酸檢測結(jié)果首次泄露����。之前就有多個實驗室由于有漏洞的二維碼實現(xiàn)導(dǎo)致攻擊者可以通過枚舉測試結(jié)果URL 的方式來竊取病人核酸檢測結(jié)果。
研究人員建議在生成公開可訪問的URL時��,應(yīng)加入不可猜測的或隨機(jī)的數(shù)據(jù)位來使得無法通過枚舉來獲取信息����。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
