出于对献血者的确认和保护,以及对血液质量的保障,在献血时通常会对献血者的一些个人信息进行登记确认。本是出于保护目的的登记行为,谁曾想会造成非常严重的后果。
据外媒报道,超过55万名澳洲献血者的个人信息遭到未经授权者的访问,而这可能是澳洲迄今为止一起最大的数据泄漏事件。
澳洲红十字会的血液服务人员目前正在联系超过55万名献血者,他们的个人资料被放在了一个未经加密的IT系统中,结果被意外公开。
安全研究员特洛伊·亨特称,该数据库备份文件由1.74GB的130万条记录组成,包含献血者的各种信息,比如姓名、性别、家庭住址、电子邮件地址、电话号码、生日、血型、出生地、之前的献血记录等。
在28号针对数据泄漏事件的道歉声明中,澳大利亚红十字会称,其血液服务在10月26号注意到了该捐献者信息文件被第三方放在了“不安全的环境”——该第三方负责开发和维护血液服务的网站。
澳大利亚红十字会表示,该信息被一位扫描安全漏洞的人士发现,并在之后通过中间人通告了血液服务加入的澳大利亚网络应急响应小组(AusCERT)。
“我们已经删除了该数据库备份的所有已知拷贝,并修复了网站开发者服务器上的漏洞。”澳大利亚红十字会称。该机构还聘请了专家小组对事件进行鉴证分析,并成立了工作组来评估该血液服务的监管和安全结构。
亨特写道,25号早上的时候,他接到某人的消息,称在扫描互联网IP段以找寻提供目录列表的公开Web服务器时,发现该血液服务的网站 donateblood.com.au 上放有这些数据。该数据库备份竟然发布在了面向公众的网站,而且服务器上还开放了目录浏览。
“服务器开放目录列表是众所周知的风险,没有任何理由这么做,尤其是本次事件中展现出来的这种。”
澳红十字会方面表示,由于并没有财务信息遭泄露,只是一些基本的个人信息,所以这些献血者接到诈骗的邮件和电话的几率会上升。还表示:“我们将尽全力去补救。”