日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
印度800萬(wàn)核酸檢測(cè)結(jié)果泄露

近日,印度西孟加拉邦衛(wèi)生福利部被曝800萬(wàn)核酸檢測(cè)結(jié)果報(bào)告泄露。而事實(shí)上,上月BleepingComputer 就報(bào)道稱(chēng)多個(gè)印度政府網(wǎng)站泄露了病人的核酸檢測(cè)報(bào)告。

成都創(chuàng)新互聯(lián)公司專(zhuān)注于鹽邊企業(yè)網(wǎng)站建設(shè),自適應(yīng)網(wǎng)站建設(shè),電子商務(wù)商城網(wǎng)站建設(shè)。鹽邊網(wǎng)站建設(shè)公司,為鹽邊等地區(qū)提供建站服務(wù)。全流程定制開(kāi)發(fā),專(zhuān)業(yè)設(shè)計(jì),全程項(xiàng)目跟蹤,成都創(chuàng)新互聯(lián)公司專(zhuān)業(yè)和態(tài)度為您提供的服務(wù)

事件分析

本周,安全研究人員Sourajeet Majumder 稱(chēng)他發(fā)現(xiàn)另外一個(gè)印度政府網(wǎng)站泄露了數(shù)百萬(wàn)核酸檢測(cè)結(jié)果。研究人員發(fā)現(xiàn)網(wǎng)站在實(shí)現(xiàn)上存在問(wèn)題,會(huì)導(dǎo)致在特定州進(jìn)行核酸檢測(cè)的人員的測(cè)試結(jié)果泄露。報(bào)告中含有姓名、年齡、婚姻狀況、檢測(cè)時(shí)間、居住地址等敏感個(gè)人信息。這里的特定州指的就是印度西孟加拉邦。

根據(jù)政府每日公布的公告數(shù)據(jù),研究人員推斷泄露的核酸檢測(cè)報(bào)告數(shù)大約在800萬(wàn)。Majumder 指出,泄露可以看到發(fā)送給測(cè)試者的消息的內(nèi)容。

文本中URL 的結(jié)構(gòu)導(dǎo)致可以獲取base64 編碼的報(bào)告的ID號(hào)碼(SRF ID),如下所示:

文本消息二維碼/研究人員看到的含有到核酸檢測(cè)結(jié)果的鏈接的文本消息

經(jīng)過(guò)BleepingComputer研究人員確認(rèn),base64編碼的報(bào)告號(hào)碼可以解碼為簡(jiǎn)單的數(shù)字形式,通過(guò)在URL 中增加或減少數(shù)字就可以看到其他人的核酸檢測(cè)結(jié)果。

Majumder 還注意到對(duì)數(shù)字id的base64編碼是可選的,而且對(duì)提取報(bào)告沒(méi)有任何影響。

通過(guò)這種方式,研究人員證明了非常簡(jiǎn)單就可以提取出數(shù)百萬(wàn)病人的核酸檢測(cè)結(jié)果:

https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX1

https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX2

https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX3

每份報(bào)告中都有病人的姓名、年齡、性別、家庭地址、核酸檢測(cè)結(jié)果、檢測(cè)日期、報(bào)告號(hào)、測(cè)試實(shí)驗(yàn)室的位置信息等。

研究人員提取的核酸檢測(cè)結(jié)果示例

相關(guān)部門(mén)已修復(fù)該漏洞

之前可以讀取核酸檢測(cè)結(jié)果報(bào)告的URL目前已經(jīng)返回404 錯(cuò)誤。負(fù)責(zé)監(jiān)督North Bengal新冠疫情的健康官員 Sushant Roy也承認(rèn)了這一數(shù)據(jù)泄露事件。

這也不是核酸檢測(cè)結(jié)果首次泄露。之前就有多個(gè)實(shí)驗(yàn)室由于有漏洞的二維碼實(shí)現(xiàn)導(dǎo)致攻擊者可以通過(guò)枚舉測(cè)試結(jié)果URL 的方式來(lái)竊取病人核酸檢測(cè)結(jié)果。

研究人員建議在生成公開(kāi)可訪問(wèn)的URL時(shí),應(yīng)加入不可猜測(cè)的或隨機(jī)的數(shù)據(jù)位來(lái)使得無(wú)法通過(guò)枚舉來(lái)獲取信息。

本文翻譯自:https://www.bleepingcomputer.com/news/security/over-8-million-covid-19-test-results-leaked-online/如若轉(zhuǎn)載,請(qǐng)注明原文地址。


本文標(biāo)題:印度800萬(wàn)核酸檢測(cè)結(jié)果泄露
鏈接分享:http://www.dlmjj.cn/article/ccsjhce.html