澳大利亞紅十字會稱，其獻血服務機構(gòu)發(fā)現(xiàn)550000名獻血者的注冊信息被泄，第三方承包商的人為失誤是根源。

[[174932]]

目前懸而未決的問題在于，沒人知道到底有多少人拿到了那些數(shù)據(jù)，這有可能決定著該泄露事件的打開方式。這些包含了從2010年到2016年數(shù)據(jù)的信息，今年9月5號到10月5號期間都掛在網(wǎng)上。

安全研究員特洛伊·亨特稱，該數(shù)據(jù)庫備份文件由1.74GB的130萬條記錄組成，包含獻血者的各種信息，比如姓名、性別、家庭住址、電子郵件地址、電話號碼、生日、血型、出生地、之前的獻血記錄等。

在28號針對該事件的道歉聲明中，澳大利亞紅十字會稱，其血液服務在10月26號注意到了該捐獻者信息文件被第三方放在了“不安全的環(huán)境”——該第三方負責開發(fā)和維護血液服務的網(wǎng)站。

澳大利亞紅十字會表示，該信息被一位掃描安全漏洞的人士發(fā)現(xiàn)，并在之后通過中間人通告了血液服務加入的澳大利亞網(wǎng)絡應急響應小組(AusCERT)。

“我們已經(jīng)刪除了該數(shù)據(jù)庫備份的所有已知拷貝，并修復了網(wǎng)站開發(fā)者服務器上的漏洞。”澳大利亞紅十字會稱。該機構(gòu)還聘請了專家小組對事件進行鑒證分析，并成立了工作組來評估該血液服務的監(jiān)管和安全結(jié)構(gòu)。

亨特寫道，25號早上的時候，他接到某人的消息，稱在掃描互聯(lián)網(wǎng)IP段以找尋提供目錄列表的公開Web服務器時，發(fā)現(xiàn)該血液服務的網(wǎng)站 donateblood.com.au 上放有這些數(shù)據(jù)。該數(shù)據(jù)庫備份竟然發(fā)布在了面向公眾的網(wǎng)站，而且服務器上還開放了目錄瀏覽。

“服務器開放目錄列表是眾所周知的風險，沒有任何理由這么做，尤其是本次事件中展現(xiàn)出來的這種。”

特洛伊稱他聯(lián)系了AusCERT，然后AusCERT聯(lián)系了紅十字會。