网络第5域

爱尔兰政府网站漏洞暴露百万居民COVID-19疫苗接种记录 拉锯两年才公开披露

字号+作者: 来源:cnBeta.COM 2024-03-14 13:46 评论(创建话题) 收藏成功收藏本文

爱尔兰政府两年前修复了其国家COVID-19疫苗接种门户网站的一个漏洞,该漏洞暴露了约一百万居民的疫苗接种记录。但直到本周,在试图与政府机构协调公开披露'...

爱尔兰政府两年前修复了其国家COVID-19疫苗接种门户网站的一个漏洞,该漏洞暴露了约一百万居民的疫苗接种记录。但直到本周,在试图与政府机构协调公开披露漏洞的努力陷入僵局后,该漏洞的细节才被披露出来。cHS品论天涯网

cHS品论天涯网

安全研究人员亚伦-科斯特洛(AaronCostello)说,他于2021年12月在爱尔兰卫生服务管理局(HSE)运行的COVID-19疫苗接种门户网站上发现了这一漏洞,而当时爱尔兰刚刚开始大规模接种COVID-19疫苗一年。cHS品论天涯网

科斯特洛在确保Salesforce系统安全方面拥有深厚的专业知识,现在他在AppOmni担任首席安全工程师,这是一家安全初创公司,其商业利益在于确保云系统的安全。cHS品论天涯网

科斯特洛在发表前分享的一篇博文中说,疫苗接种门户网站(建立在Salesforce的健康云上)的漏洞意味着,任何在HSE疫苗接种门户网站注册的公众都可以访问另一个注册用户的健康信息。不仅如此,其他任何人都可以查阅100多万爱尔兰居民的疫苗接种记录,包括全名、疫苗接种详情(包括接种或拒绝接种疫苗的原因)、疫苗接种类型以及其他类型的数据。他还发现,任何用户都可以通过门户网站访问HSE的内部文件。cHS品论天涯网

值得庆幸的是,对于按照预期使用门户网站的普通用户来说,查看每个人疫苗接种管理详情的功能并没有立即显现出来。cHS品论天涯网

好消息是,除了科斯特洛之外,没有人发现这个漏洞,而且HSE保存了详细的访问日志,显示"没有未经授权访问或查看这些数据"。cHS品论天涯网

当被问及该漏洞时,HSE发言人ElizabethFraser在给TechCrunch的一份声明中说:"我们在接到警报的当天就修复了错误配置。在没有暴露其他数据字段的情况下,此人访问的数据不足以识别任何人,在这种情况下,决定不需要向数据保护委员会提交个人数据泄露报告。"cHS品论天涯网

爱尔兰严格遵守欧盟GDPR法规下的数据保护法,该法规对整个欧盟的数据保护和隐私权做出了规定。cHS品论天涯网

科斯特洛的公开披露标志着自首次报告该漏洞以来的两年多时间。他在博文中列出了一个长达数年的时间轴,揭示了政府各部门不愿公开披露漏洞的来回过程。他最终被告知,政府不会公开披露该漏洞,就好像它从未存在过一样。cHS品论天涯网

即使根据GDPR,组织也没有义务披露未导致敏感数据被大规模窃取或访问的漏洞,这些漏洞不属于实际数据泄露的法律要求范围。尽管如此,安全通常是建立在他人的知识基础上的,尤其是那些亲身经历过安全事件的人。分享这些知识有助于防止其他组织出现类似的漏洞,否则这些组织可能会一无所知,这也是为什么安全研究人员倾向于公开披露,以防止重蹈覆辙的原因。cHS品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]