印度一医疗公司毫无责任心:新冠抗原检测数据公网暴露无人处理

admin
admin
admin
138635
文章
114
评论
2022年9月27日09:20:48评论60 views字数 1330阅读4分26秒阅读模式

关注我们

带你读懂网络安全

印度一医疗公司毫无责任心:新冠抗原检测数据公网暴露无人处理


暴露数据为COVID抗原检测结果,受害者人数超过170万,涉及印度、美国、加拿大等多国公民;


具体数据包括姓名、详细地址、电话、Aadhaar医保编号、护照编号、基础疾病情况等敏感个人信息;


研究员将暴露情况告知该公司,但一周后该公司既未回复也未处理,相关数据库仍可访问,体现了极不负责任的态度。


前情回顾·数据泄露狂潮
安全内参9月26日消息,印度一家医疗软件提供商的Elasticsearch服务器被发现暴露在互联网上,其中存储了过去几年来往返于印度各地的众多印度及外国人的COVID抗原检测结果
值得注意的是,这些测试结果来自Covi-Catch快速抗原试剂盒。Covi-Catch是印度医学研究委员会(ICMR)批准上市的COVID-19自我检测试剂盒。
知名独立安全研究员Anurag Sen发现了此次事件。糟糕的是,目前该服务器仍然保持公开,无需任何安全身份验证或密码即可直接访问。据悉,该服务器的最初暴露时间是2022年7月2日。
Anurag当时正在搜索网站Shodan上检索错误配置的数据库,并注意到有一台公开暴露的服务器,正向公众敞开23 GB数据。Anurag表示,该服务器属于一家位于印度哈里亚纳邦古尔冈的企业,但由于目前暴露问题仍未解决,所以本文暂不公开其具体名称。


暴露了哪些数据?


Anurag对服务器的分析结果显示,暴露的记录实际是COVID抗原检测结果,而且事件受害者人数超过170万。其中不仅包括个人记录,还有往来人士的医疗记录,具体涉及:
性别
全名
国籍
出生日期
完整地址
电话号码
投票ID编号
COVID测试结果
Aadhaar医保编号
护照编号
基础疾病情况
苗详细情况(疫苗类型、是否接种)
还有更多……
印度一医疗公司毫无责任心:新冠抗原检测数据公网暴露无人处理
截图显示,暴露的记录涉及美国、加拿大和印度公民


该公司未做任何回应处理


Anurag已经通过网站上的电子邮件地址联系了相关公司,但一个多星期过去,对方未做任何回应。截至目前,该服务器仍持续暴露在外
将用户敏感数据暴露给网络犯罪分子当然离谱,毫不理会研究人员提醒、坐视混乱事态则进一步凸显出该公司不负责任的态度


事件将造成哪些影响?


目前还不清楚是否有恶意第三方已经访问到该数据库,例如勒索软件团伙或其他恶意黑客。如果已经访问,受害者及作为该服务器所有方的医疗保健公司将面临毁灭性的威胁。
此外,考虑到暴露数据的范围和性质,此次事件还可能产生深远影响。例如不法分子可能会下载数据,借以实施网络钓鱼欺诈或其他涉及身份盗窃的诈骗活动。
如果要求未能得到满足,恶意黑客可以操控该服务器或数据以索取赎金,并将信息泄露至网络犯罪论坛。一旦事态恶化到这一步,将个人信息放心交给印度当局的出行人士将沦为受害者。

参考资料:hackread.com



推荐阅读




点击下方卡片关注我们,
带你一起读懂网络安全 ↓


原文始发于微信公众号(安全内参):印度一医疗公司毫无责任心:新冠抗原检测数据公网暴露无人处理

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月27日09:20:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   印度一医疗公司毫无责任心:新冠抗原检测数据公网暴露无人处理http://cn-sec.com/archives/1317691.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息