印第安纳州COVID-19患者数据被曝光

admin 2022年1月6日04:34:16安全新闻评论19 views1815字阅读6分3秒阅读模式

印第安纳州COVID-19患者数据被曝光

本周,印第安纳州卫生部发布通知称,该州的COVID-19联系人追踪系统由于云端配置错误,暴露了超过75万人的姓名、电子邮件、性别、民族、种族和出生日期的信息。

专家称,这一事件表明,COVID-19数据可能会被滥用和误用,目前该系统正在收集全球数百万人的信息。问题是它是否得到了充分的保护,是否可以免受威胁者的侵害。而事实证明,在安全方面可能还有一些工作要做。 

同时,关于COVID-19疫苗的欺骗事件也在不断增加,这表明各种类型的网络犯罪分子一直在借当前的疫情进行攻击。

当涉及到联系人的追踪事件时,州卫生专员Kris Box 说:"我们认为在被窃取的信息中,胡州人面临的风险很低,在我们的联系人追踪计划中,并没有收集用户的社会安全信息,也没有收集医疗信息。同时我们将会为任何受影响的人提供适当的保护"。

事实证明,印第安纳州卫生部的说法中有一半是正确的。此次信息泄露事件威胁程度很低。发现这一漏洞的公司是一家名为UpGuard的网络安全公司,该公司发现其中一个配置错误的API没有做任何安全设置,而且互联网上的任何人都可以访问到。当UpGuard提醒印第安纳州官员时,他们似乎不明白UpGuard是在帮助他们,而不是在滥用他们的数据。

印第安纳州COVID-19患者数据被曝光
印第安纳州的追踪数据没有安全保障

据美联社报道,针对UpGuards的安全研究人员提出的关于数据漏洞的报告,印第安纳州卫生部表示,该公司在未经授权的情况下访问了他们的联系人追踪数据库。该州还声称UpGuard非法地访问了这些数据,似乎已经忽略了UpGuard在试图帮助他们改善网络安全状况这一点。

UpGuard公司发言人Kelly Rethmeyer说:"首先,我们公司没有非法地访问这些数据。数据在互联网上是被公开地访问的,这也就是我们所谓的数据泄漏问题。安全人员访问这些数据并不是未经授权的,因为这些数据被配置为允许任何匿名用户访问,而恰恰我们是作为匿名用户访问的。"

印第安纳州技术办公室后来说,软件配置的漏洞现在已经被修复,并要求UpGuard归还那些被访问的数据,它也确实这样做了。

虽然这个问题已经被修复了,而且API现在是安全的,但围绕着这一家网络安全公司的披露而引起的各种问题来看,地方政府可能完全没有意识到安全风险或加强网络安全的重要性。

尽管如此,世界各地的市政当局正在通过COVID-19接触追踪计划(如印第安纳州的计划)和疫苗记录收集大量的数据。

UpGuard公司的Rethmeyer告诉Threatpost说:"我们正处在一个数据泄露很严重的社会中。”

印第安纳州COVID-19患者数据被曝光
伪造的COVID-19卡

同时,犯罪分子为了应对在公共场所聚集前要求提供疫苗接种证明的情况,Flashpoint公司还发布了一份报告,详细介绍了网络犯罪分子贩卖虚假的COVID-19疫苗证书和其他COVID-19相关公共卫生文件的情况。

Flashpoint在报告中还说,这些虚假的证书可以通过几个地下秘密渠道获得,如地下论坛、聊天室等。

Flashpoint公司还观察到一个名为 "自由 "的网络犯罪分子在贩卖由医生协助提供的虚假的疫苗文件。

报告说:"Flashpoint公司的分析师认为,这个广告被放置在了一个反COVID封锁的论坛中,其销售的对象是那些对美国的疫苗和封锁持怀疑态度的人。"

另一个名为 "BigDOCS "的人则可以提供证明,宣称某人的COVID-19检测呈阴性,价格为40美元。另一个伪造证书的卖家提供假的疫苗卡,售价100美元,只要125美元,收件人就可以在一夜之间快速收到。

另一个骗子在Telegram上声称他们可以制作辉瑞公司或强生公司疫苗的疫苗卡。

Flashpoint补充说,类似的诈骗文件甚至可以在整个欧盟买到并且使用。在地下论坛Nulled上,研究人员发现了一个欧盟疫苗证书以450美元出售。

宣传该证书的威胁者提到,他们也是一个对于疫苗持怀疑态度的人,不相信政府,不想被迫接种疫苗。

Flashpoint甚至在4chan上发现了一个空白的CDC COVID-19疫苗模板可以免费使用。

由于犯罪分子下定决心要绕过公共卫生对疫苗、测试和接触者追踪的要求,政府将不得不在政策上进行跟进。

参考及来源:https://threatpost.com/covid-contact-tracing-exposed-fake-vax-cards/168821/

印第安纳州COVID-19患者数据被曝光

印第安纳州COVID-19患者数据被曝光

本文始发于微信公众号(嘶吼专业版):印第安纳州COVID-19患者数据被曝光

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月6日04:34:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  印第安纳州COVID-19患者数据被曝光 http://cn-sec.com/archives/470747.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: