本周,印第安纳州卫生部发布通知称,该州的COVID-19联系人追踪系统由于云端配置错误,暴露了超过75万人的姓名、电子邮件、性别、民族、种族和出生日期的信息。
专家称,这一事件表明,COVID-19数据可能会被滥用和误用,目前该系统正在收集全球数百万人的信息。问题是它是否得到了充分的保护,是否可以免受威胁者的侵害。而事实证明,在安全方面可能还有一些工作要做。
同时,关于COVID-19疫苗的欺骗事件也在不断增加,这表明各种类型的网络犯罪分子一直在借当前的疫情进行攻击。
当涉及到联系人的追踪事件时,州卫生专员Kris Box 说:"我们认为在被窃取的信息中,胡州人面临的风险很低,在我们的联系人追踪计划中,并没有收集用户的社会安全信息,也没有收集医疗信息。同时我们将会为任何受影响的人提供适当的保护"。
事实证明,印第安纳州卫生部的说法中有一半是正确的。此次信息泄露事件威胁程度很低。发现这一漏洞的公司是一家名为UpGuard的网络安全公司,该公司发现其中一个配置错误的API没有做任何安全设置,而且互联网上的任何人都可以访问到。当UpGuard提醒印第安纳州官员时,他们似乎不明白UpGuard是在帮助他们,而不是在滥用他们的数据。
印第安纳州的追踪数据没有安全保障
据美联社报道,针对UpGuards的安全研究人员提出的关于数据漏洞的报告,印第安纳州卫生部表示,该公司在未经授权的情况下访问了他们的联系人追踪数据库。该州还声称UpGuard非法地访问了这些数据,似乎已经忽略了UpGuard在试图帮助他们改善网络安全状况这一点。
UpGuard公司发言人Kelly Rethmeyer说:"首先,我们公司没有非法地访问这些数据。数据在互联网上是被公开地访问的,这也就是我们所谓的数据泄漏问题。安全人员访问这些数据并不是未经授权的,因为这些数据被配置为允许任何匿名用户访问,而恰恰我们是作为匿名用户访问的。"
印第安纳州技术办公室后来说,软件配置的漏洞现在已经被修复,并要求UpGuard归还那些被访问的数据,它也确实这样做了。
虽然这个问题已经被修复了,而且API现在是安全的,但围绕着这一家网络安全公司的披露而引起的各种问题来看,地方政府可能完全没有意识到安全风险或加强网络安全的重要性。
尽管如此,世界各地的市政当局正在通过COVID-19接触追踪计划(如印第安纳州的计划)和疫苗记录收集大量的数据。
UpGuard公司的Rethmeyer告诉Threatpost说:"我们正处在一个数据泄露很严重的社会中。”
伪造的COVID-19卡
同时,犯罪分子为了应对在公共场所聚集前要求提供疫苗接种证明的情况,Flashpoint公司还发布了一份报告,详细介绍了网络犯罪分子贩卖虚假的COVID-19疫苗证书和其他COVID-19相关公共卫生文件的情况。
Flashpoint在报告中还说,这些虚假的证书可以通过几个地下秘密渠道获得,如地下论坛、聊天室等。
Flashpoint公司还观察到一个名为 "自由 "的网络犯罪分子在贩卖由医生协助提供的虚假的疫苗文件。
报告说:"Flashpoint公司的分析师认为,这个广告被放置在了一个反COVID封锁的论坛中,其销售的对象是那些对美国的疫苗和封锁持怀疑态度的人。"
另一个名为 "BigDOCS "的人则可以提供证明,宣称某人的COVID-19检测呈阴性,价格为40美元。另一个伪造证书的卖家提供假的疫苗卡,售价100美元,只要125美元,收件人就可以在一夜之间快速收到。
另一个骗子在Telegram上声称他们可以制作辉瑞公司或强生公司疫苗的疫苗卡。
Flashpoint补充说,类似的诈骗文件甚至可以在整个欧盟买到并且使用。在地下论坛Nulled上,研究人员发现了一个欧盟疫苗证书以450美元出售。
宣传该证书的威胁者提到,他们也是一个对于疫苗持怀疑态度的人,不相信政府,不想被迫接种疫苗。
Flashpoint甚至在4chan上发现了一个空白的CDC COVID-19疫苗模板可以免费使用。
由于犯罪分子下定决心要绕过公共卫生对疫苗、测试和接触者追踪的要求,政府将不得不在政策上进行跟进。
本文翻译自:https://threatpost.com/covid-contact-tracing-exposed-fake-vax-cards/168821/