[[384182]]

近日，印度西孟加拉邦衛(wèi)生福利部被曝800萬核酸檢測結(jié)果報(bào)告泄露。而事實(shí)上，上月BleepingComputer 就報(bào)道稱多個印度政府網(wǎng)站泄露了病人的核酸檢測報(bào)告。

事件分析

本周，安全研究人員Sourajeet Majumder 稱他發(fā)現(xiàn)另外一個印度政府網(wǎng)站泄露了數(shù)百萬核酸檢測結(jié)果。研究人員發(fā)現(xiàn)網(wǎng)站在實(shí)現(xiàn)上存在問題，會導(dǎo)致在特定州進(jìn)行核酸檢測的人員的測試結(jié)果泄露。報(bào)告中含有姓名、年齡、婚姻狀況、檢測時間、居住地址等敏感個人信息。這里的特定州指的就是印度西孟加拉邦。

根據(jù)政府每日公布的公告數(shù)據(jù)，研究人員推斷泄露的核酸檢測報(bào)告數(shù)大約在800萬。Majumder 指出，泄露可以看到發(fā)送給測試者的消息的內(nèi)容。

文本中URL 的結(jié)構(gòu)導(dǎo)致可以獲取base64 編碼的報(bào)告的ID號碼(SRF ID)，如下所示：

文本消息二維碼/研究人員看到的含有到核酸檢測結(jié)果的鏈接的文本消息

經(jīng)過BleepingComputer研究人員確認(rèn)，base64編碼的報(bào)告號碼可以解碼為簡單的數(shù)字形式，通過在URL 中增加或減少數(shù)字就可以看到其他人的核酸檢測結(jié)果。

Majumder 還注意到對數(shù)字id的base64編碼是可選的，而且對提取報(bào)告沒有任何影響。

通過這種方式，研究人員證明了非常簡單就可以提取出數(shù)百萬病人的核酸檢測結(jié)果：

https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX1

https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX2

https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX3

每份報(bào)告中都有病人的姓名、年齡、性別、家庭地址、核酸檢測結(jié)果、檢測日期、報(bào)告號、測試實(shí)驗(yàn)室的位置信息等。

研究人員提取的核酸檢測結(jié)果示例

相關(guān)部門已修復(fù)該漏洞

之前可以讀取核酸檢測結(jié)果報(bào)告的URL目前已經(jīng)返回404 錯誤。負(fù)責(zé)監(jiān)督North Bengal新冠疫情的健康官員 Sushant Roy也承認(rèn)了這一數(shù)據(jù)泄露事件。

這也不是核酸檢測結(jié)果首次泄露。之前就有多個實(shí)驗(yàn)室由于有漏洞的二維碼實(shí)現(xiàn)導(dǎo)致攻擊者可以通過枚舉測試結(jié)果URL 的方式來竊取病人核酸檢測結(jié)果。

研究人員建議在生成公開可訪問的URL時，應(yīng)加入不可猜測的或隨機(jī)的數(shù)據(jù)位來使得無法通過枚舉來獲取信息。

本文翻譯自：https://www.bleepingcomputer.com/news/security/over-8-million-covid-19-test-results-leaked-online/如若轉(zhuǎn)載，請注明原文地址。