印度COVID-19患者的检测结果信息几乎全部被泄漏

安全
印度多个政府部门(包括国家卫生和福利机构)的网站都在网上泄漏了数千名患者的COVID-19实验室检测结果。

[[374017]]

印度多个政府部门(包括国家卫生和福利机构)的网站都在网上泄漏了数千名患者的COVID-19实验室检测结果。这些泄漏的实验室报告正在被搜索引擎索引,从而暴露出患者的数据,以及它们是否被冠状病毒检测为阳性。

Google上可以发现COVID-19实验室测试报告

本周,有研究人员在网上搜索获取COVID-19检测结果的方法时,无意中看到了数千名患者疑似泄漏的COVID-19检测结果。

正如BleepingComputer所观察到的那样,这些显示在Google上的PDF报告都托管在* .gov.in和* .nic.in域中,这些域名属于位于印度首都新德里的多个政府机构。

每个PDF文件包含了数百个接受RT-PCR检测的患者记录,并泄漏了以下信息:

· 患者姓名;

· 年龄或出生日期;

· 报告识别码,包括由政府部门使用的全国可追踪标本转诊表(SRF) ID;

· 检测日期;

· 进行检测的医院以及医生的信息;

· 患者的SARS-CoV-2病毒检测是阳性还是阴性;


每个PDF文件都有几页表格,显示了数百名患者的COVID-19检测结果

虽然大多数实验室检测报告的日期都在2020年11月至2021年1月之间,但BleepingComputer还观察到了2020年4月或更早的报告,这是多个政府机构泄漏的报告的一部分。

除了汇总表外,某些文件中还包含单个患者实验室检测报告的完整扫描表。


一些PDF文件还包含每个患者的实验室检测报告

通过BleepingComputer分析的几份PDF中包含的患者记录总数总计已超过1500。我们估计甚至有更多的患者记录正在泄漏中。

政府要求检测实验室提供“检测、追踪、隔离”数据

作为印度正在开展的“检测、追踪、隔离和治疗”工作的一部分,印度的公共和私营COVID-19检测实验室都必须向指定的政府机构报告每一个RT-PCR检测结果。

为了成功实施检测-追踪-隔离过程,政府经常要求实验室将患者的检测结果发送到相关政府部门。此外,实验室还将数据上传到印度医学研究理事会(ICMR)的门户网站上,在印度进行的每一次RT-PCR检测都有记录。

到目前为止,每一份被泄漏的COVID-19测试报告,即使是托管在不同政府域名上的电脑,都有相同的URL结构。

根据URL的结构,似乎PDF文件托管在同一个CMS系统上,该系统被印度政府办公室用于发布公开访问的文件,如工作面试通知、商业招标公告等。

很可能,将这些COVID-19检测报告上传到CMS的员工是为了在内部共享这些报告,而没有意识到这些报告无意中通过一个公开访问的系统被共享。

在发现泄漏并验证其来源后,BleepingComputer立即与相关方联系,包括多个德里政府办公室,国家信息中心(NIC),Digital India和印度CERT。

COVID-19在线检测验证系统通常受到限制

印度多个邦都推出了门户网站,让政府部门和医疗保健专业人员共享数据,并使用SRF ID轻松在线验证COVID-19报告的真实性。

然而,这些制度在公众眼中是受到限制的。此外,这些门户网站使用验证码进行保护,并且需要一个额外的验证参数,如授权的医疗保健工作者的注册电话号码,才能显示测试结果。


披漏COVID-19结果的政府系统通常仅限于授权人员

这一措施既限制了参与测试跟踪-隔离项目的有限方的数据访问,也使机场工作人员等当局能够方便地区分真假COVID-19检测报告。

在任何情况下,患者的COVID-19检测结果都不应该呈现在公众面前,也不应该被用于大量网络搜索。

虽然此次泄漏源自印度政府网站,但此前,由于二维码实施不安全,一些私人实验室可能会泄漏COVID-19检测报告。

本文翻译自:https://www.bleepingcomputer.com/news/security/indian-government-sites-leaking-patient-covid-19-test-results/如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
相关推荐

2021-01-06 11:16:48

网络安全网络安全技术周刊

2021-08-24 10:49:11

数据泄露漏洞信息安全

2022-08-30 11:59:35

暗网网络安全数据泄露

2020-09-24 14:11:31

谷歌Google MapsCOVID-9

2022-11-01 14:49:49

2021-01-10 15:25:39

区块链疫情区块链技术

2021-03-18 13:28:28

COVID-19恶意软件网络攻击

2021-09-23 10:06:01

物联网IOT

2021-05-13 05:29:42

网络犯罪英国COVID-19

2020-06-18 09:35:08

黑客COVID-19暗网

2021-02-01 16:49:52

可穿戴设备COVID-19远程监控

2020-07-05 23:13:19

COVID-19CIO首席执行官

2020-12-20 08:22:05

PythonCOVID-19全球扩散图

2020-06-17 15:08:48

物联网安全物联网IOT

2020-06-10 10:18:32

IT新冠病毒

2021-08-03 06:20:49

黑客网络安全网络攻击

2021-01-04 12:03:04

人工智能AI物联网

2021-04-15 11:19:44

物联网智能环境IoT

2021-06-10 14:31:54

物联网OT

2021-09-28 10:21:18

物联网恶意软件IoT
点赞
收藏

51CTO技术栈公众号