1. XenForo 1.5.14 中文版——支持中文搜索!现已发布!查看详情
  2. Xenforo 爱好者讨论群:215909318 XenForo专区

科技 网站漏洞曝光印度西孟加拉邦居民COVID-19检测结果

本帖由 漂亮的石头2021-03-04 发布。版面名称:新闻聚焦

  1. 漂亮的石头

    漂亮的石头 版主 管理成员

    注册:
    2012-02-10
    帖子:
    488,438
    赞:
    48
    外媒报道称,由于政府网站上存在的一个 Bug,印度西孟加拉邦居民的 COVID-19 实验室检测结果也被全面曝光。安全研究人员 Sourajeet Majumder 指出,尽管包含患者唯一检测识别码的链接已通过 base64 编码进行打乱,但其他人还是可以通过在线工具来轻松转换。

    [​IMG]

    Bleeping Computer分享的个人接收到的短信截图示例可知,由于标识号是递增排序的,因而知晓这一漏洞的任何人,都可以在浏览器地址栏上直接修改指向包含检测结果的网页链接。

    作为西孟加拉邦政府推行的大规模新冠病毒检测计划的一部分,按照粗略估算,这一漏洞至少泄露了数十万(甚至多达数百万人)的 COVID-19 实验室检测结果。

    [​IMG]

    检测出结果后,政府会立即向民众发送带有网站链接的短信。​

    糟糕的是,除了 COVID-19 的检测结果(阳性 / 隐性 / 存疑),报告中还包含了患者的姓名、性别、年龄、邮寄地址等信息。

    Sourajeet Majumder 在接受采访时称,他很担心恶意攻击者会抓取网站数据并兜售牟利,于是选择了立即向印度网络安全响应机构 CERT 通报此事。

    [​IMG]

    检测报告示例(隐私细节已打码)​

    官方在电子邮件中承认了该问题,并且联系了西孟加拉邦政府的网站管理员,但遗憾后者没有给出回应。

    外媒尝试与西孟加拉邦政府取得了联系,官方表示将把该网站下线,但并未回应其它置评请求。
     
正在加载...