印度COVID-19监视工具泄露数百万用户数据

印度COVID-19监视工具泄露数百万用户数据

由北方邦政府建立的COVID-19监测工具已泄露大约800万印度公民数据

VPNmentor的一份研究报告显示,名为“北方COVID-19监视平台” 的COVID-19监视工具已于2020年8月1日遭到入侵,导致大规模数据泄露。

根据研究人员的说法,利用各种漏洞来破坏监视平台,但该漏洞背后的主要原因是严重缺乏安全性。

VPNnentor研究人员指出,北方地方政府开发了该工具,并将其作为大规模监控项目的一部分。其主要目的是在印度范围内追踪冠状病毒患者,“数据安全协议无意中开放了对全平台范围的访问”,从而暴露了印度数百万数据

研究人员声称该工具包含许多漏洞,所有漏洞都暴露了个人身份信息数据。泄露的数据包括在北方邦(UP),印度最大的州之一和印度其他地区测试过COVID-19阳性的每个人的全名性别年龄居住地址联系电话

在VPNmentor的团队发现数据后一个月,数据就得到了保护。根据VPNMentor的分析师Ran Locar和Noam Rotem的说法,第一个漏洞是在一个不安全且未加密的git存储库中发现的,该存储库包含登录凭据的“数据转储”,其中包括管理员帐户的用户名和密码存储在平台上。

CSV文件列出了个别的日常病例和PII数据

根据vpnMentor的博客文章,基于此发现,研究人员发现了一个包含CSV文件目录列表的公开Web索引。它掌握了印度和印度其他地区有关所有已知COVID-19病例的信息。 

列表中包括敏感的私人数据,包括全名电话号码地址和大约800万公民的测试结果。 该Web索引还包含有关外国居民,非印第安人和医护人员的信息,并且不受密码保护。

研究人员认为,尽管目录列表并没有直接影响UP的监视系统,但它无疑“严重损害了CSV文件中列出的数百万人的安全,这些人的数据可能来自监视平台和其他来源。”

屏幕截图显示了针对COVID-19测试呈阳性的个体的数据

研究人员报告说,印度政府和UP网络犯罪部门没有回应。政府于8月27日与该国的计算机应急响应小组CERT-IN分享了调查结果。9月7日,VPNMentor的团队再次联系了CERT-IN,并迫使该组织解决此问题。最终,该问题已在9月10日修复。

没有证据表明黑客滥用了暴露的数据,但研究人员认为,监视工具中漏洞的影响可能是深远的。

研究人员指出:“这种恶意行为会对北方邦应对冠状病毒的反应和行动的有效性产生许多现实世界的后果,可能导致极端破坏和混乱。”

from

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注