澳大利亚红十字会称,其献血服务机构发现550000名献血者的注册信息被泄,第三方承包商的人为失误是根源。
目前悬而未决的问题在于,没人知道到底有多少人拿到了那些数据,这有可能决定着该泄露事件的打开方式。这些包含了从2010年到2016年数据的信息,今年9月5号到10月5号期间都挂在网上。
安全研究员特洛伊·亨特称,该数据库备份文件由1.74GB的130万条记录组成,包含献血者的各种信息,比如姓名、性别、家庭住址、电子邮件地址、电话号码、生日、血型、出生地、之前的献血记录等。
在28号针对该事件的道歉声明中,澳大利亚红十字会称,其血液服务在10月26号注意到了该捐献者信息文件被第三方放在了“不安全的环境”——该第三方负责开发和维护血液服务的网站。
澳大利亚红十字会表示,该信息被一位扫描安全漏洞的人士发现,并在之后通过中间人通告了血液服务加入的澳大利亚网络应急响应小组(AusCERT)。
“我们已经删除了该数据库备份的所有已知拷贝,并修复了网站开发者服务器上的漏洞。”澳大利亚红十字会称。该机构还聘请了专家小组对事件进行鉴证分析,并成立了工作组来评估该血液服务的监管和安全结构。
亨特写道,25号早上的时候,他接到某人的消息,称在扫描互联网IP段以找寻提供目录列表的公开Web服务器时,发现该血液服务的网站 donateblood.com.au 上放有这些数据。该数据库备份竟然发布在了面向公众的网站,而且服务器上还开放了目录浏览。
“服务器开放目录列表是众所周知的风险,没有任何理由这么做,尤其是本次事件中展现出来的这种。”
特洛伊称他联系了AusCERT,然后AusCERT联系了红十字会。
