印度多个政府部门(包括国家卫生和福利机构)的网站都在网上泄漏了数千名患者的COVID-19实验室检测结果。这些泄漏的实验室报告正在被搜索引擎索引,从而暴露出患者的数据,以及它们是否被冠状病毒检测为阳性。
Google上可以发现COVID-19实验室测试报告
本周,有研究人员在网上搜索获取COVID-19检测结果的方法时,无意中看到了数千名患者疑似泄漏的COVID-19检测结果。
正如BleepingComputer所观察到的那样,这些显示在Google上的PDF报告都托管在* .gov.in和* .nic.in域中,这些域名属于位于印度首都新德里的多个政府机构。
每个PDF文件包含了数百个接受RT-PCR检测的患者记录,并泄漏了以下信息:
· 患者姓名;
· 年龄或出生日期;
· 报告识别码,包括由政府部门使用的全国可追踪标本转诊表(SRF) ID;
· 检测日期;
· 进行检测的医院以及医生的信息;
· 患者的SARS-CoV-2病毒检测是阳性还是阴性;
每个PDF文件都有几页表格,显示了数百名患者的COVID-19检测结果
虽然大多数实验室检测报告的日期都在2020年11月至2021年1月之间,但BleepingComputer还观察到了2020年4月或更早的报告,这是多个政府机构泄漏的报告的一部分。
除了汇总表外,某些文件中还包含单个患者实验室检测报告的完整扫描表。
一些PDF文件还包含每个患者的实验室检测报告
通过BleepingComputer分析的几份PDF中包含的患者记录总数总计已超过1500。我们估计甚至有更多的患者记录正在泄漏中。
政府要求检测实验室提供“检测、追踪、隔离”数据
作为印度正在开展的“检测、追踪、隔离和治疗”工作的一部分,印度的公共和私营COVID-19检测实验室都必须向指定的政府机构报告每一个RT-PCR检测结果。
为了成功实施检测-追踪-隔离过程,政府经常要求实验室将患者的检测结果发送到相关政府部门。此外,实验室还将数据上传到印度医学研究理事会(ICMR)的门户网站上,在印度进行的每一次RT-PCR检测都有记录。
到目前为止,每一份被泄漏的COVID-19测试报告,即使是托管在不同政府域名上的电脑,都有相同的URL结构。
根据URL的结构,似乎PDF文件托管在同一个CMS系统上,该系统被印度政府办公室用于发布公开访问的文件,如工作面试通知、商业招标公告等。
很可能,将这些COVID-19检测报告上传到CMS的员工是为了在内部共享这些报告,而没有意识到这些报告无意中通过一个公开访问的系统被共享。
在发现泄漏并验证其来源后,BleepingComputer立即与相关方联系,包括多个德里政府办公室,国家信息中心(NIC),Digital India和印度CERT。
COVID-19在线检测验证系统通常受到限制
印度多个邦都推出了门户网站,让政府部门和医疗保健专业人员共享数据,并使用SRF ID轻松在线验证COVID-19报告的真实性。
然而,这些制度在公众眼中是受到限制的。此外,这些门户网站使用验证码进行保护,并且需要一个额外的验证参数,如授权的医疗保健工作者的注册电话号码,才能显示测试结果。
披漏COVID-19结果的政府系统通常仅限于授权人员
这一措施既限制了参与测试跟踪-隔离项目的有限方的数据访问,也使机场工作人员等当局能够方便地区分真假COVID-19检测报告。
在任何情况下,患者的COVID-19检测结果都不应该呈现在公众面前,也不应该被用于大量网络搜索。
虽然此次泄漏源自印度政府网站,但此前,由于二维码实施不安全,一些私人实验室可能会泄漏COVID-19检测报告。
本文翻译自:https://www.bleepingcomputer.com/news/security/indian-government-sites-leaking-patient-covid-19-test-results/如若转载,请注明原文地址。
