网站漏洞曝光印度西孟加拉邦居民COVID-19检测结果
外媒报道称,由于政府网站上存在的一个 Bug,印度西孟加拉邦居民的 COVID-19 实验室检测结果也被全面曝光。安全研究人员 Sourajeet Majumder 指出,尽管包含患者唯一检测识别码的链接已通过 base64 编码进行打乱,但其他人还是可以通过在线工具来轻松转换。
由 Bleeping Computer 分享的个人接收到的短信截图示例可知,由于标识号是递增排序的,因而知晓这一漏洞的任何人,都可以在浏览器地址栏上直接修改指向包含检测结果的网页链接。
作为西孟加拉邦政府推行的大规模新冠病毒检测计划的一部分,按照粗略估算,这一漏洞至少泄露了数十万(甚至多达数百万人)的 COVID-19 实验室检测结果。
检测出结果后,政府会立即向民众发送带有网站链接的短信。
糟糕的是,除了 COVID-19 的检测结果(阳性 / 隐性 / 存疑),报告中还包含了患者的姓名、性别、年龄、邮寄地址等信息。
Sourajeet Majumder 在接受采访时称,他很担心恶意攻击者会抓取网站数据并兜售牟利,于是选择了立即向印度网络安全响应机构 CERT 通报此事。
检测报告示例(隐私细节已打码)
官方在电子邮件中承认了该问题,并且联系了西孟加拉邦政府的网站管理员,但遗憾后者没有给出回应。
外媒尝试与西孟加拉邦政府取得了联系,官方表示将把该网站下线,但并未回应其它置评请求。